nei Verëffentlechung vun engem Package fir Bildveraarbechtung a Konversioun
, déi eliminéiert 52 potenziell Schwachstelle identifizéiert während Fuzzing Tester vum Projet .
Am Ganzen, zënter Februar 2018, huet OSS-Fuzz 343 Probleemer identifizéiert, vun deenen 331 schonn an GraphicsMagick fixéiert goufen (fir déi reschtlech 12 ass d'90-Deeg Fixperiod nach net ofgelaf). Separat
datt OSS-Fuzz och benotzt gëtt fir e verwandte Projet ze kontrolléieren , an deenen méi wéi 100 Probleemer am Moment ongeléist bleiwen, Informatiounen iwwer déi schonn ëffentlech verfügbar sinn nodeems d'Korrekturzäit ofgelaaf ass.
Zousätzlech zu potenziellen Themen, déi vum OSS-Fuzz-Projet identifizéiert goufen, adresséiert GraphicsMagick 1.3.32 och 14 Puffer-Iwwerfluss Schwachstelle beim Veraarbechtung vu speziell stiléierte Biller an SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF an XWD. Net-Sécherheetsverbesserungen enthalen erweidert Ënnerstëtzung fir WebP an d'Fäegkeet Biller am Braille-Format opzehuelen fir Blannen ze gesinn.
Och bemierkt ass d'Entfernung vu GraphicsMagick 1.3.32 vun enger Feature déi benotzt ka ginn fir en Datelek ze verursaachen. D'Thema betrëfft d'Handhabung vun der "@filename" Notatioun fir SVG- a WMF-Formater, wat erlaabt Text, deen an der spezifizéierter Datei präsent ass, uewen um Bild ze weisen oder an de Metadaten abegraff ze ginn. Potentiell, wann Webapplikatiounen keng richteg Validatioun vun Inputparameter hunn, kënnen Ugräifer dës Fonktioun benotzen fir den Inhalt vun de Dateien vum Server ze kréien, zum Beispill Zougangsschlësselen a gespäichert Passwierder. De Problem erschéngt och am ImageMagick.
Source: opennet.ru