nouvelle version d'un package pour le traitement et la conversion d'images
, qui élimine 52 vulnérabilités potentielles identifiées lors des tests de fuzzing effectués par le projet .
Au total, depuis février 2018, OSS-Fuzz a identifié 343 problèmes, dont 331 ont déjà été corrigés dans GraphicsMagick (pour les 12 restants, le délai de correction de 90 jours n'a pas encore expiré). Séparément
que OSS-Fuzz est également utilisé pour vérifier un projet associé , dans lequel plus de 100 problèmes restent actuellement non résolus, dont les informations sont déjà accessibles au public après l'expiration du délai de correction.
En plus des problèmes potentiels identifiés par le projet OSS-Fuzz, GraphicsMagick 1.3.32 corrige également 14 vulnérabilités de débordement de tampon lors du traitement d'images spécialement stylisées au format SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF et XWD. Les améliorations non liées à la sécurité incluent une prise en charge étendue de WebP et la possibilité d'enregistrer des images au format Braille pour les aveugles.
On note également la suppression de GraphicsMagick 1.3.32 d'une fonctionnalité qui pourrait être utilisée pour provoquer une fuite de données. Le problème concerne la gestion de la notation « @filename » pour les formats SVG et WMF, qui permet d'afficher le texte présent dans le fichier spécifié au-dessus de l'image ou d'inclure dans les métadonnées. Potentiellement, si les applications Web ne disposent pas d'une validation appropriée des paramètres d'entrée, les attaquants peuvent utiliser cette fonctionnalité pour obtenir le contenu des fichiers du serveur, par exemple les clés d'accès et les mots de passe enregistrés. Le problème apparaît également dans ImageMagick.
Source: opennet.ru