CVE-2022-44268 tau raug txheeb xyuas hauv pob ImageMagick, uas feem ntau siv los ntawm cov neeg tsim khoom hauv lub vev xaib los hloov cov duab, uas tuaj yeem ua rau cov ntaub ntawv xau yog tias PNG cov duab npaj los ntawm tus neeg tawm tsam tau hloov dua siab tshiab siv ImageMagick. Qhov tsis muaj peev xwm cuam tshuam rau cov tshuab uas ua cov duab sab nraud thiab tom qab ntawd tso cai rau cov txiaj ntsig hloov dua siab tshiab kom thauj khoom.
Qhov tsis zoo yog tshwm sim los ntawm qhov tseeb tias thaum ua cov duab PNG, ImageMagick siv cov ntsiab lus ntawm "profile" parameter los ntawm metadata thaiv los txiav txim lub npe ntawm cov ntaub ntawv profile uas suav nrog hauv cov ntaub ntawv tshwm sim. Yog li, rau kev tawm tsam, nws txaus los ntxiv qhov "profile" parameter rau PNG duab nrog cov ntaub ntawv tsim nyog (piv txwv li, "/etc/passwd") thiab thaum ua cov duab zoo li no, piv txwv li, thaum resizing daim duab , cov ntsiab lus ntawm cov ntaub ntawv xav tau yuav suav nrog hauv cov ntawv tso zis . Yog tias koj teev "-" hloov lub npe ntawm cov ntaub ntawv, tus neeg tuav ntaub ntawv yuav dai tos cov tswv yim los ntawm tus qauv kwj, uas tuaj yeem siv los ua qhov tsis lees paub kev pabcuam (CVE-2022-44267).
Ib qho kev hloov tshiab nrog kev kho rau qhov tsis zoo tseem tsis tau raug tso tawm, tab sis ImageMagick cov neeg tsim khoom tau pom zoo tias ua haujlwm los thaiv cov xau, tsim txoj cai hauv cov chaw uas txwv tsis pub nkag mus rau qee cov ntaub ntawv txoj hauv kev. Piv txwv li, kom tsis kam nkag mus rau qhov tseeb thiab txheeb ze txoj hauv kev policy.xml, koj tuaj yeem ntxiv:
Ib tsab ntawv rau tsim cov duab PNG siv qhov tsis zoo twb tau muab tso rau hauv pej xeem sau.
Tau qhov twg los: opennet.ru