Il pacchetto ImageMagick, spesso utilizzato dagli sviluppatori web per convertire immagini, presenta una vulnerabilità CVE-2022-44268, che può portare alla perdita del contenuto del file se le immagini PNG preparate da un utente malintenzionato vengono convertite utilizzando ImageMagick. La vulnerabilità colpisce i sistemi che elaborano immagini esterne e quindi consentono il caricamento dei risultati della conversione.
La vulnerabilità è causata dal fatto che quando ImageMagick elabora un'immagine PNG, utilizza il contenuto del parametro "profile" dal blocco di metadati per determinare il nome del file del profilo, che è incluso nel file risultante. Pertanto, per un attacco, è sufficiente aggiungere il parametro "profile" con il percorso del file richiesto all'immagine PNG (ad esempio, "/etc/passwd") e durante l'elaborazione di tale immagine, ad esempio, quando si ridimensiona l'immagine , il contenuto del file richiesto verrà incluso nel file di output. Se specifichi "-" anziché un nome file, il gestore si bloccherà in attesa dell'input dal flusso standard, che può essere utilizzato per causare un rifiuto di servizio (CVE-2022-44267).
Non è stato ancora rilasciato un aggiornamento per correggere la vulnerabilità, ma gli sviluppatori di ImageMagick hanno consigliato, come soluzione alternativa per bloccare la perdita, di creare una regola nelle impostazioni che limiti l'accesso a determinati percorsi di file. Ad esempio, per negare l'accesso tramite percorsi assoluti e relativi, puoi aggiungere quanto segue a policy.xml:
Uno script per generare immagini PNG che sfruttano la vulnerabilità è già stato reso pubblico.
Fonte: opennet.ru