Web 開発者が画像を変換するためによく使用する ImageMagick パッケージには CVE-2022-44268 という脆弱性があり、攻撃者が作成した PNG 画像を ImageMagick を使用して変換するとファイルの内容が漏洩する可能性があります。 この脆弱性は、外部画像を処理して変換結果をロードできるシステムに影響します。
この脆弱性は、ImageMagick が PNG 画像を処理するときに、メタデータ ブロックの「profile」パラメータの内容を使用して、結果のファイルに含まれるプロファイル ファイルの名前を決定するという事実によって引き起こされます。 したがって、攻撃の場合は、必要なファイル パスを含む「profile」パラメーターを PNG 画像 (「/etc/passwd」など) に追加するだけで十分です。また、そのような画像を処理するとき (たとえば、画像のサイズを変更するとき)必要なファイルの内容が出力ファイルに含まれます。 ファイル名の代わりに「-」を指定すると、ハンドラーが標準ストリームからの入力を待ってハングし、これがサービス拒否 (CVE-2022-44267) の原因となる可能性があります。
この脆弱性を修正するアップデートはまだリリースされていませんが、ImageMagick 開発者は、漏洩をブロックする回避策として、設定で特定のファイル パスへのアクセスを制限するルールを作成することを推奨しています。 たとえば、絶対パスおよび相対パスによるアクセスを拒否するには、policy.xml に次の内容を追加します。
この脆弱性を悪用したPNG画像を生成するスクリプトはすでに公開されている。
出所: オープンネット.ru