Pakiet ImageMagick, często używany przez twórców stron internetowych do konwersji obrazów, zawiera lukę CVE-2022-44268, która może prowadzić do wycieku zawartości pliku, jeśli obrazy PNG przygotowane przez osobę atakującą zostaną skonwertowane przy użyciu ImageMagick. Luka dotyczy systemów przetwarzających obrazy zewnętrzne, a następnie umożliwiających załadowanie wyników konwersji.
Luka wynika z faktu, że ImageMagick przetwarzając obraz PNG wykorzystuje zawartość parametru „profile” z bloku metadanych w celu określenia nazwy pliku profilu, który znajduje się w pliku wynikowym. Zatem do ataku wystarczy dodać parametr „profile” z wymaganą ścieżką pliku do obrazu PNG (na przykład „/etc/passwd”), a przy przetwarzaniu takiego obrazu np. przy zmianie rozmiaru obrazu , zawartość wymaganego pliku zostanie uwzględniona w pliku wyjściowym . Jeśli zamiast nazwy pliku podasz „-”, procedura obsługi zawiesi się w oczekiwaniu na dane wejściowe ze standardowego strumienia, które mogą zostać użyte do spowodowania odmowy usługi (CVE-2022-44267).
Aktualizacja naprawiająca lukę nie została jeszcze wydana, ale twórcy ImageMagick zalecili, aby w ramach obejścia zablokowania wycieku utworzyć w ustawieniach regułę ograniczającą dostęp do niektórych ścieżek plików. Na przykład, aby odmówić dostępu poprzez ścieżki bezwzględne i względne, możesz dodać następujący plik do pliku policy.xml:
Skrypt generujący obrazy PNG wykorzystujące lukę został już udostępniony publicznie.
Źródło: opennet.ru