У пакеті ImageMagick, який часто використовується web-розробниками для перетворення зображень, виявлено вразливість CVE-2022-44268, яка може призвести до витоку вмісту файлів у разі перетворення за допомогою ImageMagick, підготовлених атакуючим PNG-зображень. Вразливість загрожує системам, які обробляють зовнішні зображення, а потім дають можливість завантажити результати перетворення.
Вразливість викликана тим, що під час обробки PNG-зображення ImageMagick використовує вміст параметра «profile» із блоку метаданих для визначення імені файлу з профілем, який включається до результуючого файлу. Таким чином, для атаки достатньо додати до PNG-зображення параметр "profile" з необхідним файловим шляхом (наприклад, "/etc/passwd") і при обробці подібного зображення, наприклад, при зміні розміру картинки, у вихідний файл буде включено вміст необхідного файлу . Якщо замість імені файлу вказати «-«, обробник зависне в очікуванні введення зі стандартного потоку, що можна використовувати для здійснення відмови в обслуговуванні (CVE-2022-44267).
Оновлення з виправленням уразливості поки не випущено, але розробники ImageMagick рекомендували як обхідний шлях для блокування витоку створити в налаштуваннях правило, що обмежує доступ до певних файлових шляхів. Наприклад, для заборони доступу по абсолютних та відносних шляхах до policy.xml можна додати:
У відкритому доступі вже розміщений скрипт для формування вразливість PNG-зображень, що експлуатують.
Джерело: opennet.ru