CVE-2022-44268已在ImageMagick包中被識別出來,該包經常被web開發者用來轉換圖片,如果使用ImageMagick轉換攻擊者準備的PNG圖片會導致文件內容洩露。 該漏洞影響處理外部圖像然後允許加載轉換結果的系統。
該漏洞是由於在處理 PNG 圖像時,ImageMagick 使用元數據塊中的“配置文件”參數的內容來確定結果文件中包含的配置文件的名稱。 因此,對於攻擊而言,只需將“配置文件”參數添加到具有必要文件路徑(例如“/etc/passwd”)的 PNG 圖像中,並且在處理此類圖像時,例如調整圖像大小時, 所需文件的內容將包含在輸出文件中。 如果您指定“-”而不是文件名,則處理程序將掛起等待來自標準流的輸入,這可用於執行拒絕服務 (CVE-2022-44267)。
修復該漏洞的更新尚未發布,但 ImageMagick 開發人員建議作為阻止洩漏的解決方法,在設置中創建一個規則來限制對某些文件路徑的訪問。 例如,要拒絕訪問 policy.xml 中的絕對和相對路徑,您可以添加:
用於生成利用該漏洞的 PNG 圖像的腳本已被放置在公共域中。
來源: opennet.ru