ပုံများကိုပြောင်းလဲရန် ဝဘ်ဆော့ဖ်ဝဲအင်ဂျင်နီယာများက မကြာခဏအသုံးပြုလေ့ရှိသည့် ImageMagick ပက်ကေ့ဂျ်တွင် အားနည်းချက်တစ်ခုရှိပြီး CVE-2022-44268 တွင် တိုက်ခိုက်သူမှပြင်ဆင်ထားသည့် PNG ပုံများကို ImageMagick ဖြင့် ပြောင်းလဲပါက ဖိုင်အကြောင်းအရာများ ပေါက်ကြားသွားနိုင်သည်။ အားနည်းချက်သည် ပြင်ပပုံများကို စီမံဆောင်ရွက်ပေးသည့် စနစ်များကို အကျိုးသက်ရောက်စေပြီး ပြောင်းလဲခြင်းရလဒ်များကို တင်ခွင့်ပြုသည်။
ImageMagick သည် PNG ရုပ်ပုံတစ်ပုံကို လုပ်ဆောင်သည့်အခါ၊ ရလဒ်ဖိုင်တွင်ပါဝင်သည့် ပရိုဖိုင်ဖိုင်အမည်ကို ဆုံးဖြတ်ရန် မက်တာဒေတာဘလောက်မှ “ပရိုဖိုင်” ပါရာမီတာ၏ အကြောင်းအရာများကို အသုံးပြုခြင်းကြောင့် အားနည်းချက်ဖြစ်လာသည်။ ထို့ကြောင့်၊ တိုက်ခိုက်မှုတစ်ခုအတွက်၊ PNG ပုံသို့ လိုအပ်သော ဖိုင်လမ်းကြောင်းဖြင့် "ပရိုဖိုင်" ကန့်သတ်ဘောင်ကို ပေါင်းထည့်ရန် လုံလောက်သည် (ဥပမာ၊ "/etc/passwd") နှင့် ထိုကဲ့သို့သောပုံကို လုပ်ဆောင်သည့်အခါ ဥပမာ၊ ပုံအား အရွယ်အစားပြောင်းသည့်အခါ၊ လိုအပ်သောဖိုင်၏အကြောင်းအရာများကို output ဖိုင်တွင်ထည့်သွင်းလိမ့်မည်။ ဖိုင်အမည်အစား "-" ကို သတ်မှတ်ပါက၊ ဝန်ဆောင်မှုကို ငြင်းပယ်ခြင်းဖြစ်စေရန်အတွက် အသုံးပြုနိုင်သည့် ပုံမှန်စီးကြောင်းမှ ထည့်သွင်းမှုအတွက် ကိုင်တွယ်သူသည် စောင့်ဆိုင်းနေလိမ့်မည် (CVE-2022-44267)။
အားနည်းချက်ကို ပြုပြင်ရန် အပ်ဒိတ်ကို မထုတ်ပြန်ရသေးသော်လည်း ImageMagick developer များက ပေါက်ကြားမှုကို ပိတ်ဆို့ရန်အတွက် ဖြေရှင်းနည်းအနေဖြင့် အချို့ဖိုင်လမ်းကြောင်းများသို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်ထားသည့် ဆက်တင်များတွင် စည်းမျဉ်းတစ်ခုဖန်တီးရန် အကြံပြုထားသည်။ ဥပမာအားဖြင့်၊ အကြွင်းမဲ့နှင့် ဆွေမျိုးလမ်းကြောင်းများမှတစ်ဆင့် ဝင်ရောက်ခွင့်ကို ငြင်းပယ်ရန် အောက်ပါတို့ကို policy.xml တွင် ထည့်သွင်းနိုင်သည်-
အားနည်းချက်ကို အသုံးချသည့် PNG ပုံများကို ဖန်တီးရန်အတွက် script ကို လူသိရှင်ကြား ရရှိထားပြီးဖြစ်သည်။
source: opennet.ru