Ny fonosana ImageMagick, izay matetika ampiasain'ny mpamorona tranonkala hanovana sary, dia manana vulnerability CVE-2022-44268, izay mety hitarika amin'ny fivoahana ny votoatin'ny rakitra raha toa ka niova fo mampiasa ImageMagick ny sary PNG nomanin'ny mpanafika. Ny vulnerability dia misy fiantraikany amin'ny rafitra izay manodina sary ivelany ary avy eo mamela ny valim-piovana ho entina.
Ny vulnerability dia vokatry ny hoe rehefa manamboatra sary PNG ny ImageMagick dia mampiasa ny votoatin'ny parameter "profile" avy amin'ny sakana metadata mba hamaritana ny anaran'ny rakitra profil, izay tafiditra ao amin'ny rakitra vokarina. Noho izany, ho an'ny fanafihana, dia ampy ny manampy ny "profile" parameter miaraka amin'ny lΓ lan'ny rakitra ilaina amin'ny sary PNG (ohatra, "/etc/passwd") ary rehefa manamboatra sary toy izany, ohatra, rehefa manova ny sary. , ny votoatin'ny rakitra ilaina dia ho tafiditra ao amin'ny rakitra famoahana. Raha manondro "-" ho solon'ny anaran-drakitra ianao, dia hihantona miandry ny fidirana avy amin'ny stream mahazatra ny mpitantana, izay azo ampiasaina hiteraka fandavana ny serivisy (CVE-2022-44267).
Tsy mbola navoaka ny fanavaozana hamahana ny vulnerability, fa ny mpamorona ImageMagick dia nanoro hevitra fa ho toy ny vahaolana hanakanana ny leak, dia mamorona fitsipika ao amin'ny toe-javatra izay mametra ny fidirana amin'ny lΓ lan-drakitra sasany. Ohatra, raha handΓ ny fidirana amin'ny alΓ lan'ny lalana tanteraka sy havanana ianao dia azonao atao ny manampy ireto manaraka ireto amin'ny policy.xml:
Efa navoaka ampahibemaso ny script amin'ny famoronana sary PNG izay manararaotra ny vulnerable.
Source: opennet.ru