Het ImageMagick-pakket, dat vaak door webontwikkelaars wordt gebruikt om afbeeldingen te converteren, heeft een kwetsbaarheid CVE-2022-44268, die kan leiden tot het lekken van bestandsinhoud als PNG-afbeeldingen die door een aanvaller zijn gemaakt, worden geconverteerd met ImageMagick. De kwetsbaarheid treft systemen die externe afbeeldingen verwerken en vervolgens het laden van de conversieresultaten mogelijk maken.
Het beveiligingslek wordt veroorzaakt door het feit dat wanneer ImageMagick een PNG-afbeelding verwerkt, het de inhoud van de “profile”-parameter uit het metadatablok gebruikt om de naam van het profielbestand te bepalen, dat in het resulterende bestand is opgenomen. Voor een aanval is het dus voldoende om de parameter “profile” met het vereiste bestandspad aan de PNG-afbeelding toe te voegen (bijvoorbeeld “/etc/passwd”) en bij het verwerken van een dergelijke afbeelding, bijvoorbeeld bij het wijzigen van het formaat van de afbeelding , wordt de inhoud van het vereiste bestand opgenomen in het uitvoerbestand. Als u "-" opgeeft in plaats van een bestandsnaam, blijft de handler hangen terwijl hij wacht op invoer van de standaardstream, die kan worden gebruikt om een Denial of Service te veroorzaken (CVE-2022-44267).
Er is nog geen update uitgebracht om het beveiligingslek te verhelpen, maar de ontwikkelaars van ImageMagick hebben aanbevolen om als tijdelijke oplossing om het lek te blokkeren een regel in de instellingen te maken die de toegang tot bepaalde bestandspaden beperkt. Als u bijvoorbeeld toegang wilt weigeren via absolute en relatieve paden, kunt u het volgende toevoegen aan policy.xml:
Een script voor het genereren van PNG-afbeeldingen die misbruik maken van de kwetsbaarheid is al openbaar beschikbaar.
Bron: opennet.ru