Уязвимост в ImageMagick, която води до изтичане на локално файлово съдържание

Пакетът ImageMagick, който често се използва от уеб разработчиците за конвертиране на изображения, има уязвимост CVE-2022-44268, която може да доведе до изтичане на съдържанието на файла, ако PNG изображения, подготвени от нападател, се конвертират с помощта на ImageMagick. Уязвимостта засяга системи, които обработват външни изображения и след това позволяват зареждането на резултатите от преобразуването.

Уязвимостта се дължи на факта, че когато ImageMagick обработва PNG изображение, той използва съдържанието на параметъра „профил“ от блока с метаданни, за да определи името на файла на профила, който е включен в получения файл. По този начин за атака е достатъчно да добавите параметъра „профил“ с необходимия път на файла към PNG изображението (например „/etc/passwd“) и при обработка на такова изображение, например при преоразмеряване на изображението , съдържанието на необходимия файл ще бъде включено в изходния файл. Ако зададете „-“ вместо име на файл, манипулаторът ще виси в очакване на въвеждане от стандартния поток, което може да се използва за причиняване на отказ на услуга (CVE-2022-44267).

Все още не е пусната актуализация за коригиране на уязвимостта, но разработчиците на ImageMagick препоръчаха като заобиколно решение за блокиране на изтичането да се създаде правило в настройките, което ограничава достъпа до определени файлови пътища. Например, за да откажете достъп чрез абсолютни и относителни пътища, можете да добавите следното към policy.xml:

Скрипт за генериране на PNG изображения, които използват уязвимостта, вече е публично достъпен.

Източник: opennet.ru