පින්තූර පරිවර්තනය කිරීමට වෙබ් සංවර්ධකයින් විසින් බොහෝ විට භාවිතා කරන ImageMagick පැකේජයට CVE-2022-44268 අවදානමක් ඇත, ප්රහාරකයෙකු විසින් සකස් කරන ලද PNG පින්තූර ImageMagick භාවිතයෙන් පරිවර්තනය කළහොත් ගොනු අන්තර්ගතය කාන්දු වීමට හේතු විය හැක. අවදානම බාහිර රූප සැකසීමට සහ පසුව පරිවර්තන ප්රතිඵල පූරණය කිරීමට ඉඩ දෙන පද්ධතිවලට බලපායි.
අවදානමට හේතුව ImageMagick PNG රූපයක් සකසන විට, එය ප්රතිඵලයක් ලෙස ගොනුවේ ඇතුළත් කර ඇති පැතිකඩ ගොනුවේ නම තීරණය කිරීම සඳහා පාරදත්ත බ්ලොක් වෙතින් “පැතිකඩ” පරාමිතියේ අන්තර්ගතය භාවිතා කරයි. මේ අනුව, ප්රහාරයක් සඳහා, අවශ්ය ගොනු මාර්ගය සමඟ “පැතිකඩ” පරාමිතිය PNG රූපයට එක් කිරීම ප්රමාණවත් වේ (උදාහරණයක් ලෙස, “/etc/passwd”) සහ එවැනි රූපයක් සැකසීමේදී, උදාහරණයක් ලෙස, රූපයේ ප්රමාණය වෙනස් කිරීමේදී , අවශ්ය ගොනුවේ අන්තර්ගතය ප්රතිදාන ගොනුවට ඇතුළත් වේ. ඔබ ගොනු නාමයක් වෙනුවට "-" සඳහන් කරන්නේ නම්, සේවා ප්රතික්ෂේප කිරීමක් ඇති කිරීමට භාවිතා කළ හැකි සම්මත ප්රවාහයෙන් ආදානය සඳහා හසුරුවන්නා එල්ලා වැටෙනු ඇත (CVE-2022-44267).
අවදානම නිවැරදි කිරීම සඳහා යාවත්කාලීන කිරීමක් තවමත් නිකුත් කර නැත, නමුත් ImageMagick සංවර්ධකයින් නිර්දේශ කළේ කාන්දුව අවහිර කිරීමට විසඳුමක් ලෙස, ඇතැම් ගොනු මාර්ග වෙත ප්රවේශය සීමා කරන සැකසුම් තුළ රීතියක් නිර්මාණය කරන ලෙසයි. උදාහරණයක් ලෙස, නිරපේක්ෂ සහ සාපේක්ෂ මාර්ග හරහා ප්රවේශය ප්රතික්ෂේප කිරීම සඳහා, ඔබට policy.xml වෙත පහත දෑ එක් කළ හැක:
අනාරක්ෂිත බව ප්රයෝජනයට ගන්නා PNG රූප උත්පාදනය කිරීම සඳහා ස්ක්රිප්ට් එකක් දැනටමත් ප්රසිද්ධියේ තිබේ.
මූලාශ්රය: opennet.ru