ImageMagick தொகுப்பில் CVE-2022-44268 அடையாளம் காணப்பட்டுள்ளது, இது படங்களை மாற்ற வலை உருவாக்குபவர்களால் அடிக்கடி பயன்படுத்தப்படுகிறது, தாக்குபவர் தயாரித்த PNG படங்களை ImageMagick ஐப் பயன்படுத்தி மாற்றினால் கோப்பு உள்ளடக்கம் கசிவு ஏற்படலாம். பாதிப்பு வெளிப்புற படங்களைச் செயலாக்கும் அமைப்புகளைப் பாதிக்கிறது, பின்னர் மாற்ற முடிவுகளை ஏற்ற அனுமதிக்கிறது.
PNG படத்தைச் செயலாக்கும்போது, படமான கோப்பில் சேர்க்கப்பட்டுள்ள சுயவிவரக் கோப்பின் பெயரைத் தீர்மானிக்க, மெட்டாடேட்டா தொகுதியிலிருந்து "சுயவிவர" அளவுருவின் உள்ளடக்கங்களை ImageMagick பயன்படுத்துவதால் பாதிப்பு ஏற்படுகிறது. எனவே, தாக்குதலுக்கு, PNG படத்தில் தேவையான கோப்பு பாதையுடன் “சுயவிவரம்” அளவுருவைச் சேர்த்தால் போதும் (எடுத்துக்காட்டாக, “/etc/passwd”) மற்றும் அத்தகைய படத்தை செயலாக்கும்போது, எடுத்துக்காட்டாக, படத்தின் அளவை மாற்றும்போது , தேவையான கோப்பின் உள்ளடக்கங்கள் வெளியீட்டு கோப்பில் சேர்க்கப்படும். கோப்புப் பெயருக்குப் பதிலாக "-" எனக் குறிப்பிட்டால், நிலையான ஸ்ட்ரீமில் இருந்து உள்ளீட்டிற்காக ஹேண்ட்லர் காத்திருக்கும், இது சேவை மறுப்பைச் செய்யப் பயன்படும் (CVE-2022-44267).
பாதிப்புக்கான தீர்வுடனான புதுப்பிப்பு இன்னும் வெளியிடப்படவில்லை, ஆனால் ImageMagick டெவலப்பர்கள் கசிவைத் தடுப்பதற்கான ஒரு தீர்வாக, சில கோப்பு பாதைகளுக்கான அணுகலைக் கட்டுப்படுத்தும் அமைப்புகளில் ஒரு விதியை உருவாக்க பரிந்துரைக்கின்றனர். எடுத்துக்காட்டாக, policy.xml இல் முழுமையான மற்றும் தொடர்புடைய பாதைகளுக்கான அணுகலை மறுக்க, நீங்கள் சேர்க்கலாம்:
பாதிப்பைப் பயன்படுத்தி PNG படங்களை உருவாக்குவதற்கான ஸ்கிரிப்ட் ஏற்கனவே பொது களத்தில் வைக்கப்பட்டுள்ளது.
ஆதாரம்: opennet.ru