ಇಮೇಜ್ಗಳನ್ನು ಪರಿವರ್ತಿಸಲು ವೆಬ್ ಡೆವಲಪರ್ಗಳು ಹೆಚ್ಚಾಗಿ ಬಳಸುವ ಇಮೇಜ್ಮ್ಯಾಜಿಕ್ ಪ್ಯಾಕೇಜ್, ದುರ್ಬಲತೆ CVE-2022-44268 ಅನ್ನು ಹೊಂದಿದೆ, ಇದು ಆಕ್ರಮಣಕಾರರಿಂದ ಸಿದ್ಧಪಡಿಸಲಾದ PNG ಚಿತ್ರಗಳನ್ನು ಇಮೇಜ್ಮ್ಯಾಜಿಕ್ ಬಳಸಿ ಪರಿವರ್ತಿಸಿದರೆ ಫೈಲ್ ವಿಷಯಗಳ ಸೋರಿಕೆಗೆ ಕಾರಣವಾಗಬಹುದು. ದುರ್ಬಲತೆಯು ಬಾಹ್ಯ ಚಿತ್ರಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವ ವ್ಯವಸ್ಥೆಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ ಮತ್ತು ನಂತರ ಪರಿವರ್ತನೆ ಫಲಿತಾಂಶಗಳನ್ನು ಲೋಡ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ.
ಇಮೇಜ್ಮ್ಯಾಜಿಕ್ PNG ಚಿತ್ರವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಿದಾಗ, ಪ್ರೊಫೈಲ್ ಫೈಲ್ನ ಹೆಸರನ್ನು ನಿರ್ಧರಿಸಲು ಮೆಟಾಡೇಟಾ ಬ್ಲಾಕ್ನಿಂದ "ಪ್ರೊಫೈಲ್" ಪ್ಯಾರಾಮೀಟರ್ನ ವಿಷಯಗಳನ್ನು ಬಳಸುತ್ತದೆ ಎಂಬ ಅಂಶದಿಂದ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ, ಅದು ಪರಿಣಾಮವಾಗಿ ಫೈಲ್ನಲ್ಲಿ ಸೇರಿಸಲ್ಪಟ್ಟಿದೆ. ಹೀಗಾಗಿ, ದಾಳಿಗಾಗಿ, PNG ಇಮೇಜ್ಗೆ ಅಗತ್ಯವಿರುವ ಫೈಲ್ ಮಾರ್ಗದೊಂದಿಗೆ “ಪ್ರೊಫೈಲ್” ನಿಯತಾಂಕವನ್ನು ಸೇರಿಸಲು ಸಾಕು (ಉದಾಹರಣೆಗೆ, “/etc/passwd”) ಮತ್ತು ಅಂತಹ ಚಿತ್ರವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ, ಉದಾಹರಣೆಗೆ, ಚಿತ್ರವನ್ನು ಮರುಗಾತ್ರಗೊಳಿಸುವಾಗ , ಅಗತ್ಯವಿರುವ ಫೈಲ್ನ ವಿಷಯಗಳನ್ನು ಔಟ್ಪುಟ್ ಫೈಲ್ನಲ್ಲಿ ಸೇರಿಸಲಾಗುತ್ತದೆ. ನೀವು ಫೈಲ್ ಹೆಸರಿನ ಬದಲಿಗೆ "-" ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದರೆ, ಹ್ಯಾಂಡ್ಲರ್ ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಸ್ಟ್ರೀಮ್ನಿಂದ ಇನ್ಪುಟ್ಗಾಗಿ ಕಾಯುತ್ತಿರುವುದನ್ನು ಸ್ಥಗಿತಗೊಳಿಸುತ್ತದೆ, ಇದನ್ನು ಸೇವೆಯ ನಿರಾಕರಣೆಗೆ (CVE-2022-44267) ಕಾರಣವಾಗಬಹುದು.
ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸಲು ನವೀಕರಣವನ್ನು ಇನ್ನೂ ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿಲ್ಲ, ಆದರೆ ಇಮೇಜ್ಮ್ಯಾಜಿಕ್ ಡೆವಲಪರ್ಗಳು ಸೋರಿಕೆಯನ್ನು ತಡೆಯಲು ಪರಿಹಾರವಾಗಿ, ಕೆಲವು ಫೈಲ್ ಮಾರ್ಗಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನಿರ್ಬಂಧಿಸುವ ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ ನಿಯಮವನ್ನು ರಚಿಸುವಂತೆ ಶಿಫಾರಸು ಮಾಡಿದ್ದಾರೆ. ಉದಾಹರಣೆಗೆ, ಸಂಪೂರ್ಣ ಮತ್ತು ಸಾಪೇಕ್ಷ ಮಾರ್ಗಗಳ ಮೂಲಕ ಪ್ರವೇಶವನ್ನು ನಿರಾಕರಿಸಲು, ನೀವು ಪಾಲಿಸಿ.xml ಗೆ ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಸೇರಿಸಬಹುದು:
ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ PNG ಚಿತ್ರಗಳನ್ನು ರಚಿಸುವ ಸ್ಕ್ರಿಪ್ಟ್ ಈಗಾಗಲೇ ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಿದೆ.
ಮೂಲ: opennet.ru