ImageMagick-pakken, som ofte bruges af webudviklere til at konvertere billeder, har en sårbarhed CVE-2022-44268, som kan føre til lækage af filindhold, hvis PNG-billeder udarbejdet af en angriber konverteres ved hjælp af ImageMagick. Sårbarheden påvirker systemer, der behandler eksterne billeder og derefter tillader konverteringsresultaterne at blive indlæst.
Sårbarheden er forårsaget af det faktum, at når ImageMagick behandler et PNG-billede, bruger det indholdet af "profil"-parameteren fra metadatablokken til at bestemme navnet på profilfilen, som er inkluderet i den resulterende fil. For et angreb er det således nok at tilføje parameteren "profil" med den nødvendige filsti til PNG-billedet (for eksempel "/etc/passwd") og ved behandling af et sådant billede, for eksempel ved ændring af størrelsen på billedet , vil indholdet af den påkrævede fil blive inkluderet i outputfilen. Hvis du angiver "-" i stedet for et filnavn, vil behandleren hænge og vente på input fra standardstrømmen, som kan bruges til at forårsage et lammelsesangreb (CVE-2022-44267).
En opdatering til at rette op på sårbarheden er endnu ikke blevet frigivet, men ImageMagick-udviklere anbefalede, at man som en løsning for at blokere lækagen oprettede en regel i indstillingerne, der begrænser adgangen til bestemte filstier. For at nægte adgang via absolutte og relative stier kan du f.eks. tilføje følgende til policy.xml:
Et script til at generere PNG-billeder, der udnytter sårbarheden, har allerede været offentligt tilgængeligt.
Kilde: opennet.ru