CVE-2022-44268 нь ImageMagick багцад тодорхойлогдсон бөгөөд үүнийг вэб хөгжүүлэгчид ихэвчлэн зураг хөрвүүлэхэд ашигладаг бөгөөд халдагчийн бэлтгэсэн PNG зургийг ImageMagick ашиглан хөрвүүлбэл файлын агуулга алдагдахад хүргэдэг. Энэ эмзэг байдал нь гадаад зургийг боловсруулдаг системүүдэд нөлөөлж, дараа нь хөрвүүлэлтийн үр дүнг ачаалах боломжийг олгодог.
Эмзэг байдал нь PNG дүрсийг боловсруулахдаа ImageMagick нь мета өгөгдлийн блок дахь "профайл" параметрийн агуулгыг ашиглан үүссэн файлд орсон профайл файлын нэрийг тодорхойлдогтай холбоотой юм. Тиймээс, халдлагын хувьд шаардлагатай файлын зам бүхий PNG зураг дээр "профайл" параметрийг нэмэхэд хангалттай (жишээлбэл, "/etc/passwd"), ийм зургийг боловсруулахдаа, жишээлбэл, зургийн хэмжээг өөрчлөх үед. , шаардлагатай файлын агуулгыг гаралтын файлд оруулах болно. Хэрэв та файлын нэрний оронд "-" гэж зааж өгвөл зохицуулагч стандарт дамжуулалтаас оролт хүлээж зогсох бөгөөд үүнийг үйлчилгээнээс татгалзах (CVE-2022-44267) хийхэд ашиглаж болно.
Эмзэг байдлыг зассан шинэчлэл хараахан гараагүй байгаа ч ImageMagick-ийн хөгжүүлэгчид алдагдлыг хаахын тулд тодорхой файлын замд хандах хандалтыг хязгаарлах дүрэм бий болгохыг зөвлөж байна. Жишээлбэл, Policy.xml доторх үнэмлэхүй болон харьцангуй замд хандахыг хориглохын тулд та дараахийг нэмж болно:
Эмзэг байдлыг ашиглан PNG зураг үүсгэх скриптийг аль хэдийн нийтийн эзэмшилд байршуулсан байна.
Эх сурвалж: opennet.ru