GraphicsMagick 1.3.32-opdatering med sårbarheder rettet

Introduceret ny udgivelse af en pakke til billedbehandling og konvertering
GraphicsMagick 1.3.32, som eliminerer 52 potentielle sårbarheder identificeret under fuzzing-test af projektet OSS-Fuzz.

I alt, siden februar 2018, har OSS-Fuzz identificeret 343 problemer, hvoraf 331 allerede er blevet rettet i GraphicsMagick (for de resterende 12 er 90-dages rettelsesperioden endnu ikke udløbet). Separat
fejresat OSS-Fuzz også bruges til at tjekke et relateret projekt ImageMagick, hvor mere end 100 problemer i øjeblikket er uløste, hvorom oplysninger allerede er offentligt tilgængelige efter udløbet af fristen for rettelse.

Ud over potentielle problemer identificeret af OSS-Fuzz-projektet, adresserer GraphicsMagick 1.3.32 også 14 bufferoverløbssårbarheder, når der behandles specielt stylede billeder i SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF og XWD. Ikke-sikkerhedsrelaterede forbedringer inkluderer udvidet WebP-understøttelse og muligheden for at skrive billeder i brailleformat til visning af blinde.

Det bemærkes også, at en funktion fra GraphicsMagick 1.3.32, der kan bruges til at organisere en datalækage, er blevet fjernet. Problemet vedrører håndteringen af ​​"@filnavn"-notationen for SVG- og WMF-formaterne, som tillader, at tekst i den angivne fil vises oven på et billede eller inkluderes i metadataene. Hvis webapplikationer ikke korrekt kontrollerer inputparametre, kan angribere potentielt bruge denne funktion til at få fat i indholdet af filer fra serveren, f.eks. adgangskoder og gemte adgangskoder. Problemet optræder også i ImageMagick.

Kilde: opennet.ru

Køb pålidelig hosting til websteder med DDoS-beskyttelse, VPS VDS-servere 🔥 Køb pålidelig webhosting med DDoS-beskyttelse, VPS VDS-servere | ProHoster