Web开发人员经常使用的ImageMagick软件包存在一个漏洞CVE-2022-44268,如果攻击者使用ImageMagick转换准备的PNG图像,可能会导致文件内容泄露。该漏洞影响处理外部图像然后允许加载转换结果的系统。
该漏洞是由于 ImageMagick 处理 PNG 图像时,它使用元数据块中的“profile”参数的内容来确定配置文件的名称,该名称包含在结果文件中。因此,对于攻击来说,只需将“profile”参数和所需的文件路径添加到PNG图像(例如“/etc/passwd”)并且在处理此类图像时(例如,在调整图像大小时)就足够了,所需文件的内容将包含在输出文件中。如果指定“-”而不是文件名,则处理程序将挂起等待来自标准流的输入,这可用于导致拒绝服务 (CVE-2022-44267)。
修复该漏洞的更新尚未发布,但 ImageMagick 开发人员建议作为阻止泄漏的解决方法,在设置中创建一条规则来限制对某些文件路径的访问。例如,要拒绝通过policy.xml中的绝对和相对路径进行访问,您可以添加:
利用该漏洞生成 PNG 图像的脚本已经公开。
来源: opennet.ru