CVE-2022-44268 on tunnistettu ImageMagick-paketissa, jota verkkokehittäjät käyttävät usein kuvien muuntamiseen, mikä voi johtaa tiedostojen sisällön vuotamiseen, jos hyökkääjän laatimia PNG-kuvia muunnetaan ImageMagickilla. Haavoittuvuus vaikuttaa järjestelmiin, jotka käsittelevät ulkoisia kuvia ja sallivat sitten muunnostulosten lataamisen.
Haavoittuvuus johtuu siitä, että ImageMagick PNG-kuvaa käsitellessään käyttää metatietolohkon "profiili"-parametrin sisältöä määrittääkseen tuloksena olevaan tiedostoon sisältyvän profiilitiedoston nimen. Siten hyökkäykseen riittää, että PNG-kuvaan lisätään "profiili"-parametri tarvittavalla tiedostopolulla (esimerkiksi "/etc/passwd") ja tällaista kuvaa käsiteltäessä, esimerkiksi kuvan kokoa muuttaessa. , vaaditun tiedoston sisältö sisällytetään tulostiedostoon. Jos määrität "-" tiedoston nimen sijaan, käsittelijä jää odottamaan syötettä vakiovirrasta, jota voidaan käyttää palveluneston suorittamiseen (CVE-2022-44267).
Haavoittuvuuden korjausta sisältävää päivitystä ei ole vielä julkaistu, mutta ImageMagick-kehittäjät suosittelivat, että vuodon estämiseksi luotaisiin asetuksiin sääntö, joka rajoittaa pääsyä tiettyihin tiedostopolkuihin. Esimerkiksi, jos haluat estää pääsyn absoluuttisiin ja suhteellisiin polkuihin policy.xml:ssä, voit lisätä:
Haavoittuvuutta hyödyntävien PNG-kuvien luomiseen tarkoitettu komentosarja on jo julkaistu julkisesti.
Lähde: opennet.ru