зураг боловсруулах, хөрвүүлэх багцын шинэ хувилбар
, энэ нь төслийн fuzzing тестийн явцад илэрсэн 52 болзошгүй эмзэг байдлыг арилгадаг .
Нийтдээ 2018 оны 343-р сараас хойш OSS-Fuzz 331 асуудлыг тодорхойлсон бөгөөд үүнээс 12-ийг нь GraphicsMagick дээр зассан байна (үлдсэн 90-ын хувьд XNUMX хоногийн засварын хугацаа дуусаагүй байна). Тус тусад нь
OSS-Fuzz нь холбогдох төслийг шалгахад ашиглагддаг , одоогоор 100 гаруй асуудал шийдэгдээгүй байгаа бөгөөд эдгээрийн талаарх мэдээллийг засварлах хугацаа дууссаны дараа олон нийтэд нээлттэй болгосон.
OSS-Fuzz төслөөс тодорхойлсон боломжит асуудлуудаас гадна GraphicsMagick 1.3.32 нь SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF болон XWD. Аюулгүй байдлын бус сайжруулалтууд нь WebP-ийн өргөтгөсөн дэмжлэг болон хараагүй хүмүүст зориулсан зургийг брайл форматаар бичих боломжийг багтаасан болно.
Мөн GraphicsMagick 1.3.32-аас өгөгдөл алдагдуулахад ашиглаж болох функцийг устгасан гэдгийг онцолсон. Асуудал нь SVG болон WMF форматын "@filename" тэмдэглэгээний зохицуулалттай холбоотой бөгөөд энэ нь заасан файлд байгаа текстийг зургийн дээд талд харуулах эсвэл мета өгөгдөлд оруулах боломжийг олгодог. Хэрэв вэб программууд оролтын параметрүүдийг зохих ёсоор баталгаажуулаагүй бол халдагчид энэ функцийг ашиглан серверээс файлын агуулгыг олж авах боломжтой, жишээлбэл хандалтын түлхүүр, хадгалсан нууц үг. Асуудал ImageMagick дээр бас гарч ирдэг.
Эх сурвалж: opennet.ru