Ihe ngwugwu ImageMagick, nke ndị na-emepụta weebụ na-ejikarị eme ihe iji gbanwee ihe oyiyi, nwere CVE-2022-44268 adịghị ike, nke nwere ike iduga nkwụsị nke ọdịnaya faịlụ ma ọ bụrụ na a gbanwere ihe oyiyi PNG nke onye na-awakpo kwadoro site na iji ImageMagick. Ọdịmma ahụ na-emetụta sistemu ndị na-ahazi onyonyo mpụga wee kwe ka ebugo nsonaazụ ntụgharị.
A na-akpata adịghị ike ahụ n'eziokwu na mgbe ImageMagick na-eme ihe oyiyi PNG, ọ na-eji ọdịnaya nke "profaịlụ" paramita site na ngọngọ metadata iji chọpụta aha faịlụ profaịlụ, nke gụnyere na faịlụ na-esi na ya pụta. Ya mere, maka mbuso agha, ọ ga-ezuru ịgbakwunye paramita "profaịlụ" na ụzọ faịlụ achọrọ na foto PNG (dịka ọmụmaatụ, "/etc/passwd") na mgbe ị na-edozi ihe oyiyi dị otú ahụ, dịka ọmụmaatụ, mgbe ị na-agbanwe ihe oyiyi ahụ. , a ga-etinye ọdịnaya nke faịlụ achọrọ na faịlụ mmepụta . Ọ bụrụ na ị kọwapụta "-" kama aha faịlụ, onye na-ahụ maka ya ga-echere ntinye sitere na iyi ọkọlọtọ, nke enwere ike iji mee ka a kwụsị ọrụ (CVE-2022-44267).
Emelitebeghị mmelite iji dozie adịghị ike ahụ, mana ndị mmepe ImageMagick tụrụ aro na dị ka ihe na-arụ ọrụ iji gbochie ntanye ahụ, mepụta iwu na ntọala nke na-egbochi ohere ịnweta ụfọdụ ụzọ faịlụ. Dịka ọmụmaatụ, iji jụ ịnweta site na ụzọ zuru oke na nke ikwu, ị nwere ike itinye ihe ndị a na policy.xml:
Edemede maka imepụta onyonyo PNG nke na-erigbu adịghị ike adịlarị ọhaneze.
isi: opennet.ru