nova versión dun paquete para o procesamento e conversión de imaxes
, que elimina 52 posibles vulnerabilidades identificadas durante as probas de fuzzing do proxecto .
En total, desde febreiro de 2018, OSS-Fuzz identificou 343 problemas, dos cales 331 xa foron solucionados en GraphicsMagick (para os 12 restantes, o período de corrección de 90 días aínda non expirou). Por separado
que OSS-Fuzz tamén se usa para comprobar un proxecto relacionado , na que actualmente seguen sen resolverse máis de 100 problemas, información sobre as cales xa está dispoñible públicamente unha vez transcorrido o prazo de corrección.
Ademais dos posibles problemas identificados polo proxecto OSS-Fuzz, GraphicsMagick 1.3.32 tamén aborda 14 vulnerabilidades de desbordamento do búfer ao procesar imaxes con estilos especiais en SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF e XWD. As melloras non relacionadas coa seguridade inclúen un soporte ampliado para WebP e a posibilidade de gravar imaxes en formato Braille para visualizalas por cegos.
Tamén se sinala a eliminación de GraphicsMagick 1.3.32 dunha función que podería usarse para provocar unha fuga de datos. O problema refírese ao manexo da notación "@filename" para os formatos SVG e WMF, que permite que o texto que está presente no ficheiro especificado se mostre encima da imaxe ou se inclúa nos metadatos. Potencialmente, se as aplicacións web non teñen a validación adecuada dos parámetros de entrada, os atacantes poden utilizar esta función para obter o contido dos ficheiros do servidor, por exemplo, claves de acceso e contrasinais gardados. O problema tamén aparece en ImageMagick.
Fonte: opennet.ru