Posodobitev GraphicsMagick 1.3.32 z odpravljenimi ranljivostmi

Predložil nova izdaja paketa za obdelavo in transformacijo slik
GraphicsMagick 1.3.32, ki je odpravil 52 potencialnih ranljivosti, odkritih med testiranjem fuzzinga v okviru projekta OSS-Fuzz.

Od februarja 2018 je OSS-Fuzz odkril 343 težav, od katerih jih je bilo 331 v GraphicsMagick že odpravljenih (preostalih 12 je še vedno v 90-dnevnem obdobju za odpravo).
praznoval, da se OSS-Fuzz uporablja tudi za testiranje sorodnega projekta ImageMagick, ki ima trenutno več kot 100 nerešenih vprašanj, o katerih so informacije po izteku roka za popravek že javno dostopne.

Poleg morebitnih težav, ki jih je odkril projekt OSS-Fuzz, GraphicsMagick 1.3.32 odpravlja tudi 14 ranljivosti, ki bi lahko povzročile preobremenitev medpomnilnika pri obdelavi posebej izdelanih slik v formatih SVG, BMP, DIB, MIFF, MAT, MNG in TGA.
TIFF, WMF in XWD. Izboljšave, ki niso povezane z varnostjo, vključujejo razširjeno podporo za WebP in možnost shranjevanja slik v Braillovi pisavi za ogled slepim.

Iz GraphicsMagick 1.3.32 je bila odstranjena tudi funkcija, ki bi jo bilo mogoče uporabiti za uhajanje podatkov. Težava se nanaša na obravnavo zapisa »@filename« za formate SVG in WMF, ki omogoča, da se besedilo, prisotno v določeni datoteki, prekrije ali vključi v metapodatke. Če spletne aplikacije ne preverijo pravilno vhodnih parametrov, bi lahko napadalci to funkcijo izkoristili za pridobitev vsebine datoteke s strežnika, kot so ključi za dostop in shranjena gesla. Težava vpliva tudi na ImageMagick.

Vir: opennet.ru

Kupite zanesljivo gostovanje za strani z DDoS zaščito, VPS VDS strežniki 🔥 Kupite zanesljivo spletno gostovanje z zaščito DDoS, VPS VDS strežniki | ProHoster