новый выпуск пакета для обработки и преобразования изображений
, в котором устранены 52 потенциальные уязвимости, выявленные в ходе fuzzing-тестирования проектом .
Всего с февраля 2018 года при помощи OSS-Fuzz было выявлено 343 проблемы, из которых 331 уже устранены в GraphicsMagick (для оставшихся 12 пока не истёк 90-дневный срок, отводимый на исправление). Отдельно
, что OSS-Fuzz также используется для проверки смежного проекта , в котором в настоящее время остаются неустранёнными более 100 проблем, информация о которых уже доступна публично после истечения времени на исправление.
Кроме потенциальных проблем, выявленных проектом OSS-Fuzz, в GraphicsMagick 1.3.32 также устранено 14 уязвимостей, которые могут привести к переполнению буфера при обработке специально оформленных изображений в форматах SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF и XWD. Из не связанных с безопасностью улучшений выделяется расширение поддержки WebP и возможность записи изображений в формате Braille для просмотра незрячими.
Также отмечается удаление из GraphicsMagick 1.3.32 возможности, которая может использоваться для организации утечки данных. Проблема касается обработки нотации «@имяфайла» для форматов SVG и WMF, позволяющей вывести поверх изображения или включить в состав метаданных текст, присутствующий в указанном файле. Потенциально при отсутствии в web-приложениях должной проверки входных параметров атакующие могут воспользоваться данной функцией для получения содержимого файлов с сервера, например, ключей доступа и сохранённых паролей. Проблема также проявляется в ImageMagick.
Источник: opennet.ru