ImageMagick پيڪيج، جيڪو اڪثر ويب ڊولپرز پاران استعمال ڪيو ويندو آهي تصويرن کي تبديل ڪرڻ لاءِ، هڪ ڪمزور CVE-2022-44268 آهي، جيڪو فائل مواد جي ليڪ ٿيڻ جو سبب بڻجي سگهي ٿو جيڪڏهن حملي ڪندڙ پاران تيار ڪيل PNG تصويرون ImageMagick استعمال ڪندي تبديل ڪيون وڃن. ڪمزورين سسٽم کي متاثر ڪري ٿو جيڪي خارجي تصويرن تي عمل ڪن ٿا ۽ پوءِ تبديلي جي نتيجن کي لوڊ ٿيڻ جي اجازت ڏين ٿا.
خطري جو سبب اهو آهي ته جڏهن ImageMagick هڪ PNG تصوير کي پروسيس ڪري ٿو، اهو ميٽاداٽ بلاڪ مان "پروفائل" جي مواد کي استعمال ڪري ٿو پروفائل فائل جو نالو طئي ڪرڻ لاء، جيڪو نتيجو فائل ۾ شامل آهي. اهڙيء طرح، هڪ حملي لاء، اهو ڪافي آهي "پروفائل" پيٽرولر کي شامل ڪرڻ لاء ضروري فائل جي رستي سان PNG تصوير ۾ (مثال طور، "/etc/passwd") ۽ جڏهن اهڙي تصوير کي پروسيس ڪيو وڃي، مثال طور، جڏهن تصوير کي ٻيهر ڏيڻ ، گهربل فائل جو مواد آئوٽ پٽ فائل ۾ شامل ڪيو ويندو. جيڪڏهن توهان فائل جي نالي جي بدران "-" بيان ڪريو ٿا، هينڊلر معياري اسٽريم مان ان پٽ جي انتظار ۾ لٽڪندو، جيڪو خدمت جي انڪار ڪرڻ لاءِ استعمال ڪري سگهجي ٿو (CVE-2022-44267).
خطري کي درست ڪرڻ لاءِ هڪ تازه ڪاري اڃا تائين جاري نه ڪئي وئي آهي، پر ImageMagick ڊولپرز سفارش ڪئي آهي ته ليڪ کي بلاڪ ڪرڻ لاءِ ڪم ڪار جي طور تي، سيٽنگن ۾ هڪ قاعدو ٺاهيو جيڪو ڪجهه فائلن جي رستا تائين رسائي کي محدود ڪري. مثال طور، مطلق ۽ لاڳاپا رستا ذريعي رسائي کي رد ڪرڻ لاء، توهان هيٺين کي شامل ڪري سگهو ٿا policy.xml:
PNG تصويرون ٺاهڻ لاءِ هڪ اسڪرپٽ جيڪي ڪمزورين جو استحصال ڪن ٿيون اڳ ۾ ئي عوامي طور تي دستياب آهن.
جو ذريعو: opennet.ru