CVE-2022-44268 on tuvastatud ImageMagicki paketis, mida veebiarendajad kasutavad sageli piltide teisendamiseks, mis võib põhjustada faili sisu lekke, kui ründaja koostatud PNG-kujutised teisendatakse ImageMagicki abil. Haavatavus mõjutab süsteeme, mis töötlevad väliseid pilte ja võimaldavad seejärel konversioonitulemusi laadida.
Haavatavuse põhjustab asjaolu, et PNG-kujutise töötlemisel kasutab ImageMagick metaandmete plokist parameetri "profile" sisu, et määrata profiilifaili nimi, mis sisaldub saadud failis. Seega piisab rünnakuks, kui lisada PNG-pildile parameeter “profiil” koos vajaliku failiteega (näiteks “/etc/passwd”) ja sellise pildi töötlemisel, näiteks pildi suuruse muutmisel. , lisatakse nõutava faili sisu väljundfaili. Kui määrate failinime asemel "-", jääb töötleja ootele standardvoo sisendit, mida saab kasutada teenuse keelamiseks (CVE-2022-44267).
Haavatavuse parandusega värskendust pole veel välja antud, kuid ImageMagicki arendajad soovitasid lekke blokeerimiseks lahendusena luua seadetes reegel, mis piirab juurdepääsu teatud failiteedele. Näiteks selleks, et keelata juurdepääs failis policy.xml absoluutsetele ja suhtelistele teedele, saate lisada:
Haavatavust ära kasutavate PNG-piltide genereerimise skript on juba avalikku omandisse pandud.
Allikas: opennet.ru