LINUX.ORG.RU

Imagemagick


1

0

Всего сообщений: 79

См. также:

 , , , , , ,

Ещё одна критическая уязвимость в ImageMagick

Группа Безопасность

В ImageMagick и GraphicMagick обнаружена ещё одна уязвимость (CVE-2016-5118), приводящая к выполнению произвольных shell-команд при обработке файлов со специальными именами. Уязвимость заключается в отсутствии проверки имени файлов на наличие недопустимых символов:

% rm -f hello.txt
% convert '|echo Hello > hello.txt;' null:
% ls hello.txt
hello.txt

Как и в случае с предыдущей уязвимостью, возможна атака с помощью специально сформированных SVG-файлов (которые позволяют указывать внутри себя ссылки на другие файлы):

xlink:href="|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png">

>>> Подробности

 , ,

anonymous ()

Еще новости

Галерея

Форум

Апрель 2019

Март 2019

Август 2018

Апрель 2018

2018

2017

2017

2016