Kifurushi cha ImageMagick, ambacho mara nyingi hutumiwa na wasanidi wa wavuti kubadilisha picha, kina hatari ya CVE-2022-44268, ambayo inaweza kusababisha kuvuja kwa yaliyomo kwenye faili ikiwa picha za PNG zilizotayarishwa na mshambuliaji zitabadilishwa kwa kutumia ImageMagick. Athari hii huathiri mifumo ambayo huchakata picha za nje na kisha kuruhusu matokeo ya ubadilishaji kupakiwa.
Udhaifu unasababishwa na ukweli kwamba wakati ImageMagick inachakata picha ya PNG, hutumia yaliyomo kwenye kigezo cha "wasifu" kutoka kwa kizuizi cha metadata ili kuamua jina la faili ya wasifu, ambayo imejumuishwa kwenye faili inayotokana. Kwa hivyo, kwa shambulio, inatosha kuongeza kigezo cha "wasifu" na njia ya faili inayohitajika kwenye picha ya PNG (kwa mfano, "/etc/passwd") na wakati wa kusindika picha kama hiyo, kwa mfano, wakati wa kurekebisha ukubwa wa picha. , yaliyomo ya faili inayohitajika yatajumuishwa kwenye faili ya towe. Ukibainisha "-" badala ya jina la faili, kidhibiti kitaning'inia kikisubiri ingizo kutoka kwa mkondo wa kawaida, ambao unaweza kutumika kusababisha kunyimwa huduma (CVE-2022-44267).
Sasisho la kurekebisha athari bado halijatolewa, lakini wasanidi wa ImageMagick walipendekeza kuwa kama njia ya kutatua uvujaji, unda sheria katika mipangilio inayozuia ufikiaji wa njia fulani za faili. Kwa mfano, ili kukataa ufikiaji kupitia njia kamilifu na jamaa, unaweza kuongeza yafuatayo kwenye policy.xml:
Hati ya kutengeneza picha za PNG ambayo hutumia athari ya athari tayari imepatikana kwa umma.
Chanzo: opennet.ru