Nueva versión del paquete de procesamiento y transformación de imágenes
, lo que eliminó 52 vulnerabilidades potenciales identificadas durante las pruebas de fuzzing realizadas por el proyecto. .
Desde febrero de 2018, OSS-Fuzz ha identificado 343 problemas, 331 de los cuales ya han sido corregidos en GraphicsMagick (los 12 restantes todavía están dentro de su período de corrección de 90 días).
, que OSS-Fuzz también se utiliza para probar un proyecto relacionado , que actualmente tiene más de 100 problemas sin resolver, sobre los cuales la información ya está disponible públicamente después de que haya expirado el plazo para su corrección.
Además de los problemas potenciales identificados por el proyecto OSS-Fuzz, GraphicsMagick 1.3.32 también corrige 14 vulnerabilidades que podrían provocar desbordamientos de búfer al procesar imágenes especialmente diseñadas en los formatos SVG, BMP, DIB, MIFF, MAT, MNG y TGA.
TIFF, WMF y XWD. Las mejoras no relacionadas con la seguridad incluyen compatibilidad ampliada con WebP y la posibilidad de guardar imágenes en formato Braille para que las puedan visualizar las personas ciegas.
En GraphicsMagick 1.3.32 se ha eliminado una función que podía utilizarse para filtrar datos. El problema afectaba al manejo de la notación "@filename" para los formatos SVG y WMF, que permitía superponer o incluir en los metadatos el texto presente en el archivo especificado. Si las aplicaciones web no validaban correctamente los parámetros de entrada, los atacantes podrían aprovechar esta función para obtener el contenido de los archivos del servidor, como claves de acceso y contraseñas guardadas. Este problema también afectaba a ImageMagick.
Fuente: opennet.ru
