Sephutheloana sa ImageMagick, seo hangata se sebelisoang ke baetsi ba marang-rang ho fetola litšoantšo, se na le ts'oaetso ea CVE-2022-44268, e ka lebisang ho lutla ha litaba tsa faele haeba litšoantšo tsa PNG tse lokiselitsoeng ke mohlaseli li fetoloa ho sebelisoa ImageMagick. Ho ba kotsing ho ama litsamaiso tse sebetsanang le litšoantšo tsa kantle ebe li lumella liphetho tsa phetoho hore li kenngoe.
Kotsi e bakoa ke taba ea hore ha ImageMagick e sebetsa setšoantšo sa PNG, e sebelisa likahare tsa "profile" parameter ho tloha ho thibela metadata ho fumana lebitso la faele ea profil, e kenyellelitsoeng faeleng e hlahang. Kahoo, bakeng sa tlhaselo, ho lekane ho eketsa parameter ea "profile" ka tsela e hlokahalang ea faele ho setšoantšo sa PNG (mohlala, "/etc/passwd") le ha u sebetsana le setšoantšo se joalo, ka mohlala, ha u fetola setšoantšo. , likahare tsa faele e hlokahalang li tla kenyelletsoa faeleng ea tlhahiso . Haeba u hlakisa "-" ho e-na le lebitso la faele, mohlokomeli o tla leketla ho kenya letsoho ho tsoa ho molapo o tloaelehileng, o ka sebelisoang ho baka ho haneloa ha tšebeletso (CVE-2022-44267).
Ntlafatso ea ho lokisa bofokoli ha e so lokolloe, empa baetsi ba ImageMagick ba khothalelitse hore e le mokhoa oa ho thibela ho lutla, ho thehoe molao litlhophisong tse thibelang phihlello ea litsela tse itseng tsa faele. Ka mohlala, ho hana ho kena ka litsela tse felletseng le tse amanang, o ka eketsa tse latelang ho policy.xml:
Mongolo oa ho hlahisa litšoantšo tsa PNG o sebelisang monyetla oa ho ba kotsing o se o fumaneha phatlalatsa.
Source: opennet.ru