Пакет ИмагеМагицк, који веб програмери често користе за претварање слика, има рањивост ЦВЕ-2022-44268, која може довести до цурења садржаја датотеке ако се ПНГ слике које је припремио нападач конвертују помоћу ИмагеМагицк-а. Рањивост утиче на системе који обрађују спољне слике, а затим дозвољавају учитавање резултата конверзије.
Рањивост је узрокована чињеницом да када ИмагеМагицк обрађује ПНГ слику, користи садржај параметра „профил“ из блока метаподатака да одреди име датотеке профила, која је укључена у резултујућу датотеку. Дакле, за напад је довољно додати параметар „профил“ са потребном путањом датотеке у ПНГ слику (на пример, „/етц/пассвд“) и приликом обраде такве слике, на пример, приликом промене величине слике , садржај потребне датотеке ће бити укључен у излазну датотеку . Ако наведете „-“ уместо имена датотеке, руковалац ће висити чекајући унос из стандардног тока, који се може користити да изазове ускраћивање услуге (ЦВЕ-2022-44267).
Ажурирање за отклањање рањивости још није објављено, али програмери ИмагеМагицк-а су препоручили да се као решење за блокирање цурења креира правило у подешавањима које ограничава приступ одређеним путањама датотека. На пример, да бисте одбили приступ преко апсолутних и релативних путања, можете додати следеће у полици.кмл:
Скрипта за генерисање ПНГ слика које искоришћавају рањивост већ је јавно доступна.
Извор: опеннет.ру