د امیج میګک کڅوړه ، کوم چې ډیری وختونه د ویب پراختیا کونکو لخوا د عکسونو بدلولو لپاره کارول کیږي ، د CVE-2022-44268 زیان منونکي لري ، کوم چې کولی شي د فایل مینځپانګې لیک کیدو لامل شي که چیرې د برید کونکي لخوا چمتو شوي PNG عکسونه د ImageMagick په کارولو سره بدل شي. زیان منونکي سیسټمونه اغیزه کوي چې بهرني عکسونه پروسس کوي او بیا د تبادلې پایلو ته د بارولو اجازه ورکوي.
زیانمنتیا د دې حقیقت له امله رامینځته کیږي کله چې ImageMagick د PNG عکس پروسس کوي ، دا د میټاډاټا بلاک څخه د "پروفایل" پیرامیټر مینځپانګې کاروي ترڅو د پروفایل فایل نوم وټاکي ، کوم چې په پایله کې فایل کې شامل دی. پدې توګه ، د برید لپاره ، دا کافي دي چې د PNG عکس ته د اړین فایل لارې سره د "پروفایل" پیرامیټر اضافه کړئ (د مثال په توګه ، "/etc/passwd") او د داسې عکس پروسس کولو پرمهال ، د مثال په توګه ، کله چې د عکس له سره اندازه کول د اړتیا وړ فایل مینځپانګه به د محصول فایل کې شامل شي. که تاسو د فایل نوم پر ځای "-" مشخص کړئ، نو سمبالونکی به د معیاري جریان څخه د ننوتلو په انتظار کې ځړول شي، کوم چې د خدماتو د انکار لامل کیدی شي (CVE-2022-44267).
د زیانونو د حل کولو لپاره تازه معلومات لا نه دي خپاره شوي، مګر د ImageMagick پراختیا کونکو سپارښتنه کړې چې د لیک د بندولو لپاره د کار په توګه، په ترتیباتو کې یو قاعده رامینځته کړئ چې د ځینې فایل لارو ته لاسرسی محدودوي. د مثال په توګه، د مطلق او اړونده لارو له لارې د لاسرسي ردولو لپاره، تاسو کولی شئ لاندې پالیسۍ.xml ته اضافه کړئ:
د PNG عکسونو رامینځته کولو لپاره سکریپټ چې زیان منونکي ګټه پورته کوي دمخه په عامه توګه شتون لري.
سرچینه: opennet.ru