В пакетах ImageMagick и GraphicsMagick опять обнаружена новая опасная уязвимость, которая позволяет выполнять различные shell-команды при обработке файлов со спец.именами
В пакетах ImageMagick и GraphicsMagick опять обнаружена новая опасная уязвимость, которая позволяет выполнять различные shell-команды при обработке файлов со спец.именами. На сей раз, брешь затрагивает отсутствии проверки имени файлов на существование спец.символов.
Передав вместо имени файла аргумент "|имя" можно выполнить произвольный код, например:
convert '|echo Hello > hello.txt;' null:
Также как и в предыдущей уязвимости, существует возможность провести атаку, используя специально сформированных SVG-файлов и MVG-файлов, в которых вместо ссылки на изображение может применяться конструкция:
SVG: xlink:href="|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png" MVG: push graphic-context viewbox 0 0 640 480 image copy 200,200 100,100 "|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png" pop graphic-context
На данный момент, обновления пакетов для различных дистрибутивов (Debian, Ubuntu, SUSE, FreeBSD, Fedora итд) ещё не подготовлены. Исправления доступны лишь в виде патча. Потому, в целях уменьшения воздействий и избежания проблем, пока что рекомендуется выключить использование фун-ции popen, убрав флаг HAVE_POPEN в файле magick/blob.c ("#undef HAVE_POPEN").
Комментарии