ʻO ka pūʻolo ImageMagick, ka mea i hoʻohana pinepine ʻia e nā mea hoʻomohala pūnaewele e hoʻohuli i nā kiʻi, he palupalu CVE-2022-44268, hiki ke alakaʻi i ka leakage o nā faila inā hoʻololi ʻia nā kiʻi PNG i hoʻomākaukau ʻia e ka mea hoʻouka me ka hoʻohana ʻana iā ImageMagick. Hoʻopili ka nāwaliwali i nā ʻōnaehana e hoʻoponopono i nā kiʻi o waho a laila e ʻae i ka hoʻouka ʻana i nā hopena hoʻololi.
Hoʻokumu ʻia ka palupalu ma muli o ka hana ʻana o ImageMagick i kahi kiʻi PNG, hoʻohana ʻo ia i nā ʻike o ka "profile" parameter mai ka poloka metadata e hoʻoholo ai i ka inoa o ka faila profile, i hoʻokomo ʻia i ka faila hopena. No laila, no ka hoʻouka ʻana, ua lawa ia e hoʻohui i ka "profile" parameter me ke ala faila i makemake ʻia i ke kiʻi PNG (no ka laʻana, "/etc/passwd") a i ka wā e hoʻoponopono ai i kēlā kiʻi, no ka laʻana, i ka hoʻololi ʻana i ke kiʻi. , e hoʻokomo ʻia nā mea o ka faila i makemake ʻia i loko o ka faila hoʻopuka. Inā ʻoe e kuhikuhi i ka "-" ma kahi o ka inoa faila, e kau ka mea lawelawe i ke kali ʻana no ka hoʻokomo ʻana mai ke kahawai maʻamau, hiki ke hoʻohana ʻia no ka hōʻole ʻana i ka lawelawe (CVE-2022-44267).
ʻAʻole i hoʻokuʻu ʻia kahi mea hou e hoʻoponopono ai i ka nāwaliwali, akā ua ʻōlelo nā mea hoʻomohala ImageMagick e like me kahi workaround no ka pale ʻana i ka leak, e hana i kahi lula i nā hoʻonohonoho e kaupalena ana i ke komo ʻana i kekahi mau ala faila. No ka laʻana, no ka hōʻole ʻana i ke komo ʻana ma o nā ala pili pono, hiki iā ʻoe ke hoʻohui i kēia i policy.xml:
ʻO kahi palapala no ka hana ʻana i nā kiʻi PNG e hoʻohana ana i ka nāwaliwali ua loaʻa i ka lehulehu.
Source: opennet.ru