Involucrum ImageMagick, quod saepe tincturae interretialis ad imagines convertendas usus est, vulnerabilitatem habet CVE-2022-44268, quae efficere potest ad contentorum calculi lacus, si imagines PNG ab oppugnatore paratae convertuntur utentes ImageMagick. vulnerabilitas systemata afficit quae imagines externas processus inde conversionis eventus onerari permittunt.
vulnerabilitas ex eo causatur quod, cum ImageMagick imaginem PNG processerit, contentis parametri "profile" ex metadata trunco ββutitur ad definiendum nomen tabellae profile, quae in tabella inde consequitur. Itaque ad impetum satis est addere parametrum "profile" cum inquisita lima iter ad imaginem PNG (exempli gratia "/etc/passwd") et cum talem imaginem dispensando, exempli gratia cum imagine resiciens , contenta documenti requisiti in output lima comprehendentur . Si denotas "-" loco nominis documenti, tracto exspectationem initus pendet ex norma fluvii, qui adhiberi potest ad negationem officii causa (CVE-2022-44267).
Renovatio ad vulnerabilitatem figere nondum dimissa est, sed ImageMagick developers suadetur ut in quibus opus est ut Leak intercluderent, regulam creare in uncinis quae accessum ad certas semitas limitare coarctant. Exempli causa, accessum negare per vias absolutas et relativas, potes sequentia ad consilium addere.xml:
Scriptum de imaginibus generandis PNG quae vulnerabilitatem abutuntur iam publice in promptu sunt.
Source: opennet.ru