Il-pakkett ImageMagick, li ħafna drabi jintuża mill-iżviluppaturi tal-web biex jikkonvertu immaġini, għandu vulnerabbiltà CVE-2022-44268, li tista 'twassal għal tnixxija tal-kontenut tal-fajl jekk immaġini PNG ippreparati minn attakkant jiġu kkonvertiti bl-użu ta' ImageMagick. Il-vulnerabbiltà taffettwa sistemi li jipproċessaw immaġini esterni u mbagħad jippermettu li r-riżultati tal-konverżjoni jiġu mgħobbija.
Il-vulnerabbiltà hija kkawżata mill-fatt li meta ImageMagick tipproċessa immaġni PNG, tuża l-kontenut tal-parametru "profil" mill-blokka tal-metadejta biex tiddetermina l-isem tal-fajl tal-profil, li huwa inkluż fil-fajl li jirriżulta. Għalhekk, għal attakk, huwa biżżejjed li żżid il-parametru "profil" bil-mogħdija tal-fajl meħtieġa għall-immaġni PNG (per eżempju, "/etc/passwd") u meta tipproċessa immaġni bħal din, pereżempju, meta tibdel id-daqs tal-immaġni , il-kontenut tal-fajl meħtieġ se jkun inkluż fil-fajl tal-output. Jekk tispeċifika "-" minflok isem tal-fajl, il-handler se hang jistenna għal input mill-fluss standard, li jista 'jintuża biex jikkawża ċaħda ta' servizz (CVE-2022-44267).
Aġġornament biex jiffissa l-vulnerabbiltà għadu ma ġiex rilaxxat, iżda l-iżviluppaturi ImageMagick irrakkomandaw li bħala soluzzjoni biex timblokka t-tnixxija, toħloq regola fis-settings li tirrestrinġi l-aċċess għal ċerti mogħdijiet tal-fajls. Pereżempju, biex tiċħad l-aċċess permezz ta' mogħdijiet assoluti u relattivi, tista' żżid dan li ġej ma' policy.xml:
Skript għall-ġenerazzjoni ta' immaġini PNG li jisfruttaw il-vulnerabbiltà diġà kien disponibbli pubblikament.
Sors: opennet.ru