Ang ImageMagick package, na kadalasang ginagamit ng mga web developer para mag-convert ng mga larawan, ay may vulnerability na CVE-2022-44268, na maaaring humantong sa pagtagas ng mga nilalaman ng file kung ang mga PNG na larawang inihanda ng isang attacker ay na-convert gamit ang ImageMagick. Ang kahinaan ay nakakaapekto sa mga system na nagpoproseso ng mga panlabas na larawan at pagkatapos ay pinapayagan ang mga resulta ng conversion na ma-load.
Ang kahinaan ay sanhi ng katotohanan na kapag ang ImageMagick ay nagpoproseso ng isang PNG na imahe, ginagamit nito ang mga nilalaman ng "profile" na parameter mula sa metadata block upang matukoy ang pangalan ng profile file, na kasama sa resultang file. Kaya, para sa isang pag-atake, sapat na upang idagdag ang parameter na "profile" na may kinakailangang landas ng file sa PNG na imahe (halimbawa, "/etc/passwd") at kapag pinoproseso ang naturang imahe, halimbawa, kapag binabago ang laki ng imahe. , ang mga nilalaman ng kinakailangang file ay isasama sa output file. Kung tinukoy mo ang "-" sa halip na isang pangalan ng file, ang handler ay mag-hang naghihintay ng input mula sa karaniwang stream, na maaaring magamit upang maging sanhi ng pagtanggi sa serbisyo (CVE-2022-44267).
Ang isang update upang ayusin ang kahinaan ay hindi pa nailalabas, ngunit inirerekomenda ng mga developer ng ImageMagick na bilang isang solusyon upang harangan ang pagtagas, lumikha ng isang panuntunan sa mga setting na naghihigpit sa pag-access sa ilang mga path ng file. Halimbawa, upang tanggihan ang access sa pamamagitan ng absolute at relative paths, maaari mong idagdag ang sumusunod sa policy.xml:
Ang isang script para sa pagbuo ng mga larawang PNG na nagsasamantala sa kahinaan ay available na sa publiko.
Pinagmulan: opennet.ru