URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129706
[ Назад ]
Исходное сообщение
"Уязвимость в ImageMagick, приводящая к утечке содержимого локальных файлов"
Отправлено opennews , 06-Фев-23 14:07
В пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений, выявлена уязвимость CVE-2022-44268, которая может привести к утечке содержимого файлов в случае преобразования при помощи ImageMagick подготовленных атакующим PNG-изображений. Уязвимость угрожает системам, которые обрабатывают внешние изображения и затем дают возможность загрузить результаты преобразования...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58610
Содержание
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,полуфрактал, 14:07 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,commiethebeastie, 14:25 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 21:13 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,ИмяХ, 14:14 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 14:19 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,АнонимкаРастуимка, 14:24 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,АнонимкаРастуимка, 14:25 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 14:58 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 15:07 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 15:50 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Массоны Рептилоиды, 15:51 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,пох., 16:04 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,rshadow, 14:14 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Анонимусс, 16:37 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Пенис, 22:30 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 14:15 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Вечно недовольный аноним, 14:19 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 15:09 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Онан сын Иуды, 17:55 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 18:46 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Бывалый смузихлёб, 06:29 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 12:39 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 08:30 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,rshadow, 14:24 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 15:18 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 17:55 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 18:28 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 19:18 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,пох., 22:35 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 02:11 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 09:01 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 11:41 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 17:43 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 23:58 , 08-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 00:02 , 09-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 00:11 , 09-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,AKTEON, 20:56 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,пох., 22:51 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Советский инженер, 00:33 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 09:04 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,AKTEON, 12:32 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 15:36 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 14:21 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 15:51 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,анон, 14:28 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 16:12 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,iPony129412, 16:33 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 17:24 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,анон, 19:29 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,iPony129412, 03:13 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,111, 09:29 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,iPony129412, 10:40 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 19:09 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,YetAnotherOnanym, 14:54 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 17:17 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,corvuscor, 15:46 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 16:38 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 16:40 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 17:29 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Омномним, 22:24 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,пох., 22:55 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Омномним, 09:36 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,пох., 10:36 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Омномним, 22:13 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 15:49 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 17:55 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 09:02 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 14:13 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 15:55 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 17:02 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,1, 17:28 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 17:39 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,fuggy, 20:12 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 21:51 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,хрю, 17:36 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 20:09 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 21:50 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Sw00p aka Jerom, 20:41 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Омномним, 22:08 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Омномним, 22:09 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 22:52 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Sw00p aka Jerom, 06:16 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Бывалый смузихлёб, 06:34 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Омномним, 09:39 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 20:42 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 22:53 , 06-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 03:15 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,пох., 10:40 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 00:05 , 08-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,пох., 09:44 , 08-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 00:10 , 08-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,пох., 00:34 , 08-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 01:06 , 08-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,пох., 09:37 , 08-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 11:46 , 08-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 11:48 , 08-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 09:09 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Анончег, 10:41 , 11-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 09:13 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,пох., 10:43 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 00:19 , 08-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Геймер, 20:33 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 21:02 , 07-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,пох., 00:44 , 08-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 19:13 , 08-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,пох., 19:40 , 08-Фев-23
- Уязвимость в ImageMagick, приводящая к утечке содержимого ло...,Аноним, 12:44 , 13-Фев-23
Сообщения в этом обсуждении
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено полуфрактал , 06-Фев-23 14:07
2. OpenNews: Уязвимость в Ghostscript, эксплуатируемая через ImageMagick
3. OpenNews: Уязвимость в ImageMagick, позволившая получить доступ к чужим вложениям в почте Yahoo
4. OpenNews: В рамках проекта ImageFlow началось развитие высокопроизводительной альтернативы ImageMagick
5. OpenNews: Новая критическая уязвимость в GraphicsMagick и ImageMagick
6. OpenNews: Критическая уязвимость в пакете ImageMagick, используемом на многих сайтаху него есть новости кроме уязвимостей?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено commiethebeastie , 06-Фев-23 14:25
Там очень старый и наивный кот. Так что неудивительно.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 21:13
Так это вы новость писали,- "в случае преобразования при помощи ImageMagick подготовленных атакующим PNG-изображений" о_0
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено ИмяХ , 06-Фев-23 14:14
Типичная cишная дырeнь. Когда уже всё перепишут на раст?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 14:19
вот же - В рамках проекта ImageFlow началось развитие высокопроизводительной альтернативы ImageMagick ( https://www.opennet.ru/opennews/art.shtml?num=44552 )
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено АнонимкаРастуимка , 06-Фев-23 14:24
Скоро
Вот я на го перешёл и не жалею, о расте совсем на жалею, что там мой говнокод прекрасен, что здесь
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено АнонимкаРастуимка , 06-Фев-23 14:25
Но опять же, плюсики любимые, вы самые красивые!
Я вас не предам! Моя любовь к вам с го напополам!
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 14:58
Я, конечно, понимаю, что это ШуТкА, но как здесь помог бы раст? Об этой особенности в доках бы написали?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:07
Неважно, главное - переписать.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:50
Это двойная, а то и тройная работа.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Массоны Рептилоиды , 06-Фев-23 15:51
Эксплоит на расте
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 06-Фев-23 16:04
> Типичная cишная дырeнь. Когда уже всё перепишут на раст?Ну ты какой-то совсем необучаемый.
"НАЧНУТ переписывать" же ж!
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено rshadow , 06-Фев-23 14:14
Это все уязвимо было всегда и будет всегда. Надо запускать в песочнице и будет счастье.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Анонимусс , 06-Фев-23 16:37
А вдруг в песочнице тоже дырень!
Нужно просто писать без багов, а с багами писать не нужно, дело-то...
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Пенис , 06-Фев-23 22:30
Ну рано или поздно тот или иной софт закроет 99,9% потребностей пользователей, так что да, можно исправить.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 14:15
> Таким образом, для атаки достаточно добавить к PNG-изображению параметр "profile" с необходимым файловым путём (например, "/etc/passwd")…Доверие внешним данным. Классика.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Вечно недовольный аноним , 06-Фев-23 14:19
Просто надо верить что все люди добрые. Вы пессимист.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:09
Майор - добрейшей души человек.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Онан сын Иуды , 06-Фев-23 17:55
Не просто майор, а товарищ майор.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 18:46
Кому товарщ, а кому и гржаданин.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Бывалый смузихлёб , 07-Фев-23 06:29
Майор разрабатывает ImageMagick и оставляет в нём эпичные дырищщи ?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 12:39
Зачем ему самому-то утруждаться? Он просто может "вежливо попросить" других оставить.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 08:30
Да и майнеры коинов и продавцы персональных данных так то никого не обидят. Особенно - себя.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено rshadow , 06-Фев-23 14:24
Классика еще и в том что либу пишут те, кому интересна обработка картинок. А о вебе и прочих страшных вещах вполне могут не подумать (не иметь ни опыта, ни желания).
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:18
И о том, что либа в вебе используется вовсю, авторам никто не сказал.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:55
а это их проблема? Если их библиотеку выбрали для использования вовсю, то она устраивала по всем параметрам
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 18:28
Опять суть опенсорса наружу лезет.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 19:18
и в чем же она?
Напомню, что после прочтения лицензии "опенсурса" у тебя была возможность отказаться от его использования и избежать последствий "сути"
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 06-Фев-23 22:35
> и в чем же она?ну очевидно же - сделать г-но на от...сь, загадить поляну так чтоб ничего больше не выросло, сидеть, ждать донейтов. Дыры объявлять фичами и "исправлять" идиотскими полиси-файлами. (обработку pdf они особенно хорошо "исправили")
> у тебя была возможность отказаться от его использования и избежать последствий "сути"
это чем-то отменяет факт что опинсурсь по прежнему - в основном дырявое кривое и гнилое г-но?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 02:11
Мне кажется, ты путаешь суть людей с сутью опенсорса. Описанное тобой вполне можно получить и за деньги.Я просто напоминаю про факт, что конечное решение за тобой. Ты всегда можешь найти людей, которые сделают качественно и на совесть, а не использовать гнилой и дырявый "опинсурсь".
Скушай шоколадку, а то ты злой какой-то
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 09:01
ImageMagick разоряет конкурентов? Заказывает лживые статьи в СМИ? Какая подлость...Или может быть причина в том что нет желающих писать за бесплатно аналог уже написанной за бесплатно ImageMagick
И даже форк с упором на безопасность никто за бесплатно тянуть не хочет
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 11:41
Суть в том, что ВАМНИКТОНИДОЛЖЕН. А в итоге мы имеем каличный Gimp, «готовый для десктопа» линукс, ну вот и сабж тоже.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 17:43
Суть в том, что у пользователя есть _возможность_ получить исходники. Если пользователь ей воспользовался, то даже при внезапном исчезновении вендора, остается _возможность_ исправлять ошибки в софте, обновлять зависимости, портировать, развивать и т.д.
Всякие кружки по интересам, которые занимаются сопровождением и разработкой, являются лишь бонусом."ВАМНИКТОНИДОЛЖЕН" это лишь следствие принятия лицензии по умолчанию — вы с ней согласились, вы ничего не можете требовать, это ваше решение. Никто не мешает вам заключить договор с командой проекта напрямую и выдвигать требования согласно его условиям
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 23:58
Покупали бы мандриву, она бы не обанкротилась и был бы десктопный Линукс.
Нет? Надо чтобы сделали хорошо и забесплатно?
Покупали бы crossover office была бы совместимость с фотошопом. Нет?
Ну вот и суда нет.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 09-Фев-23 00:02
Нет денег сделай порт paint.net
А у crossover нет программа для тестировщиков с возможностью голоса.Но ведь надо не только забесплатно, но и без усилий
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 09-Фев-23 00:11
3.5 разработка Gimp сделали за бесплатно то что могли, на gegl его 20 лет портируют и всё никак не могут.
Но они хоть что-то сделали в отличии от местных клоунов, для которых потолок это высер в комментарии
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено AKTEON , 06-Фев-23 20:56
Это вместо того, чтобы заключить с авторами контракт на доработку библиотеки в нужном вам направлении - вы сидите и ждете халявы ?? Сидите и ждите. Ну или сами исправляйте.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 06-Фев-23 22:51
Ага, щас... с г-ноделами все мечтают заключить контракт на доработки.> Ну или сами исправляйте.
ну вот ты много сам исправил?
А, ты ж не умеешь кодить, действительно...
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Советский инженер , 07-Фев-23 00:33
Что? Неудачный день?
Никто контракт с тобой не заключает?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 09:04
Напиши лучше, покажи свои скилы.
Или ты как очередной эксперт, способен писать только глупые комментарии с оскорблениями разработчиков
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено AKTEON , 07-Фев-23 12:32
>Ага, щас... с г-ноделами все мечтают заключить контракт на доработки.ну не заключайте . Автономия воли хозяйствующих субъектов так сказать ...
>ну вот ты много сам исправил?
А зачем ?? Это ж не у меня , это у вас пароли утекают - так и пусть утекают дальше, плевать мне на то с высокой башни на белой горе.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:36
> А о вебе и прочих страшных вещах вполне могут не подумать А что если тем, кто занимается вебом, написать необходимый функционал, прислать коммиты и обьяснить владельцам проекта почему это нужно добавить в основную ветку?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 14:21
Помню времена, PSP-3000 взламывали PNGшками. А ведь прошло с десяток лет :)
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:51
Фичи такие фичи.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено анон , 06-Фев-23 14:28
А почему эту уязвимость заметил васян с завода, а не многомиллиардные компании апле и адобе, которые постоянно внедряют опенсурс в свои платные проекты? Хмммм.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 16:12
Им надо многомиллиарды считать, а не отвлекаться на какие-то уязвимости.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено iPony129412 , 06-Фев-23 16:33
А где у Apple imageMagick?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:24
Об этом гусары молчат обычно.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено анон , 06-Фев-23 19:29
сd ${ABЫRVALG}/AdobeFotojop.app/Contents/MacOS
./convert | grep ImageMagickТам еще в бинарях адобовских плагины гимпа и бленера вшиты даже не обфусцированные, но мне лень вспоминать.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено iPony129412 , 07-Фев-23 03:13
Я про Apple спрашивал.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено 111 , 07-Фев-23 09:29
https://ports.macports.org/port/ImageMagick/
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено iPony129412 , 07-Фев-23 10:40
> https://ports.macports.org/port/ImageMagick/ Это троллинг глупостью?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 19:09
Потому они это не используют. Это используют в основном php сайты, у которых выполнение произвольного кода при распаковке архива реализовано на уровне языка
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено YetAnotherOnanym , 06-Фев-23 14:54
> содержимое параметра "profile" из блока метаданных для определения имени файла с профилем, который включается в результирующий файлЧто авторы формата PNG, что авторы ImageMagic - друг друга стОят.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:17
Авторы PNG здесь обсолютно не при чем: в блоке матаданных может быть любой произвольный текст.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено corvuscor , 06-Фев-23 15:46
>но разработчики ImageMagick рекомендовалиЗря они не порекомендовали не использовать ImageMagick.
Там и так в политиках куча всего отключено. Конечно, безмерно уважаю разработчиков столь полезной открытой утилиты, но это просто срам какой-то...
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 16:38
Не надо в веб бекенде использовать такое. Для таких макак и разрабатывают ASP.NET Core + ImageSharp и подобное (где если и упадёт, то не так страшно).
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 16:40
Только GD, только hurtcore!
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:29
Конвейеры из программ netpbm.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Омномним , 06-Фев-23 22:24
Ну допустим у меня есть имахемагик в проектах, но я либо чужие файлы не загружаю, либо результаты назад никому не отдаю :D Почему бы мне его не использовать?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 06-Фев-23 22:55
оригинальные у тебя прожекты, конечно.Но вообще-то в большинстве случаев пакетная обработка файлов требуется совсем не для того чтобы что-то обработать и выкинуть. Скорее чтоб выкинуть оригинал.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Омномним , 07-Фев-23 09:36
Ну а чего оригинальные.
Взять пачку картинок, трансформировать, выдать уже совершенно отличный от исходных картинок результат, сгенерированный с 0.
Взять пришедший PNG, сбросить в TIF, отправить через Asterisk факсом :)
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 07-Фев-23 10:36
> Ну а чего оригинальные.
> Взять пачку картинок, трансформировать, выдать уже совершенно отличный от исходных картинок
> результат, сгенерированный с 0.прилепить к нему профиль, из оригинала, который э... оказывается не профиль.
Потому что во-первых это поведение автомагическое, во-вторых в общем и целом нужны какие-то основания его проигнорировать.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Омномним , 07-Фев-23 22:13
Не, там собственный ICC, потому что смешение может идти из источников с разными ICC.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:49
файл coders/jpeg.c, функция JPEGSetImageQuality, константные массивы hash и sums не объявлены как статические -- это всё, что нужно знать о програмиздах ImageMagick
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:55
три програмизда уже отметилось.
ещё?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 09:02
Покажи свой код
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 14:13
#include <stdio.h>
int main() {
printf("Hello, World!");
return 0;
}
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:55
В каком место это уязвимость то? Это особенность работы с хз чем. И вообще это возможно описано в документации и просто кто-то неправильно формирует PNG-файлы.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:02
Действительно с какой это стати возможность получить любой файл сервера подсунув на сайте "неправильно сгенерированую" картинку считают уязвимостью...
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено 1 , 06-Фев-23 17:28
Почему "любой" ? В чруте ты получишь то, что в чруте.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:39
> Действительно с какой это стати возможность получить любой файлС такой же, как и "особенность работы с памятью", "это было описано в документации, просто кто-то неправильно юзает hyper" и т.п стати
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено fuggy , 06-Фев-23 20:12
А кто обещал что это на сайте должно работать. Я может локально хочу обрабатывать картинку именно таким образом считывая локальный файл.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 21:51
Вот-вот сами права доступа задавать не умеют, а потом бочку на ImageMagick катят.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено хрю , 06-Фев-23 17:36
Прыкольно, особенно то что ImageMagic зачастую содержится в больших программных продуктах (в той же alfresco да и в куче других) и зачастую ни пользователи ни админ об этом не в курсах :-)). В неё уже только добра понаходили, что flash уже по-моему обойдён.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 20:09
Ничего не нашёл на тему профилей в PNG metadata кроме ICC Profile name. И похоже что это не оно.
Так вот вопрос, зачем автор добавил включение произвольных файлов при помощи дырки под названием profile.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 21:50
Что было удобно добавлять данные в profile или ты данные собрался консольными ключи добавлять в строчку как текст?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Sw00p aka Jerom , 06-Фев-23 20:41
у всех же дыркер, не?
чего бояться то?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Омномним , 06-Фев-23 22:08
Ну да, в принципе по меркам тамошних решёт это мелочь несущественная.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Омномним , 06-Фев-23 22:09
У кого в дыркерах софт с имажиком, отдающий назад результаты, из-под рута работает - тоже мои поздравления.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 22:52
[irony]
Так а что делать если докер без рута не работает
[/irony]
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Sw00p aka Jerom , 07-Фев-23 06:16
дыркер в дыркере:)
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Бывалый смузихлёб , 07-Фев-23 06:34
Дыркер для упрощения развертывания..
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Омномним , 07-Фев-23 09:39
Я и грю, многие про привилегии в дыркере вообще не задумываются. Ачо, пусть рут будет. А то, что там можно вытащить какие-нибудь инфраструктурные ключи от софта под рутом - ну, это ж не баг, это фича.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 20:42
Юзайте libvips, он лучше и быстее.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 22:53
Тогда уж PIL потому что питон это всё.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 03:15
>>В пакете ImageMagick, которыйНа минуточку, затевался как консольная утилита для обработки изображений в консоли пользователем с правами пользователя
>>часто используется web-разработчиками для преобразования изображений
А подумать до использования им нечем
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 07-Фев-23 10:40
>>>В пакете ImageMagick, который
> На минуточку, затевался как консольная утилита для обработки изображений в консоли пользователем угу, пользователь же ж мечтает попердолиться в консоли вручную. Для того ж и консоль (а совсем не для того чтоб использовать автоматизацию подобных задач).
> с правами пользователя
С правами пользователя вполне читаем .ssh/id_rsa и многое другое чего.
Конечно же непременно нужно это все зафигачить в фотку на документы какому-нибудь нелоху.
>>>часто используется web-разработчиками для преобразования изображений
> А подумать до использования им нечем
они как раз используют по назначению. Но давным-давно пора было понять что назначение у конкретно этого пакета - в мусорку.
Его разрабатывали в прекрасные древние дни, когда думать прежде чем пихать в код чтение первых попавшихся файлов по символьной ссылке было неположено.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 00:05
Конечно, виноваты разрабы утилитыВот про rm сразу предупредили всех, что нельзя прикручивать в вебморде без контроля входных параметров
А про ImageMagick предупредить не соизволили
>>для того чтоб использовать автоматизацию
Разница между запуском своим скриптом или в составе самостоятельно написанной команды и выполнением от вебсервера с неконтролируемыми параметрами неочевидна?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 08-Фев-23 09:44
Внезапно, rm this-shit не удаляет /etc/passwd - ДАЖЕ если в this-shit двести раз повторить эту строчку и даже если запустить от рута. Поэтому для нее - достаточно проверить именно входные параметры. А для имажика оказывается норм лезть в файлы по команде, найденной внутри файла. Ну местные эксперты не видят жеж разницы.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 00:10
>> когда думать прежде чем пихать в код чтение первых попавшихся файлов по символьной ссылке было неположеноЗащита через "соглашение о не чтении данных пользователем"
Тоесть писать программы надо так, чтоб не прочитать случайно что-то, что низя.
А то вдруг это куда-то передастся.
Трезвый хоть?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 08-Фев-23 00:34
Ну уж явно не так чтобы читая явно заданный в команде файл, ВНЕЗАПНО прочитать заодно и совершенно неожиданный, причем ни вопросов не задавая (хотя бы отдельного ключа НЕ включенного по умолчанию) ни ограничением хотя бы разумных путей не парясь, да еще воткнуть его содержимое в результат. Тоже без шума и пыли.Причем я уверен что существует ровно НОЛЬ пользователей волшебной консоли вручную запускателей imagemagick (в принципе, можно тут точку, их уже ноль) и при этом использующих профили из внешних файлов еще и по абсолютному пути.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 01:06
Попробуем иначе
Заменим ImageMagick на какую угодно другую утилиту
Обработка .png + путь в profile
Точно именно пользовательские утилиты должны следить за безопасностью пути в profile?
Защищать его от чтения и записи?
Не операционка?
Брендмауэр какой наконец?Конечно, это зона ответственности утилит. Утилиты не должны использовать предоставленный им доступ. По-джентельменски.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 08-Фев-23 09:37
Блин, вы тут все реально такие т-пые какими кажетесь? Или это от стекломоя по утрам?> Точно именно пользовательские утилиты должны следить за безопасностью пути в profile?
а кто за них должен? Ты лезешь обрабатывать файл, в чудо-системе 70х годов где у него даже нет меток, позволяющих хотя бы предположить что его не из интернетов притащили (как есть в системах 90х) - хотя анализ таких меток тоже мало чем может помочь кроме крайних случаев.
Ты его лезешь обрабатывать консольной утилитой, которая заточена на пакетное пережевывание и выхлоп которой разбирать обычно некому, даже если бы она могла что-то сказать и спросить.
Ты с радостью великой ВМЕСТО того что тебе было пальцем ткнуто - лезешь открывать какие-то произвольные файлы где-то где вообще можешь до них дотянуться, без малейшего намека пользователю (вот он точно не обязан догадываться что тебе велели ресайзнуть вот ЭТО, а ты полезло хрен знает куда потому что оказывается у ЭТОГО в заголовке может быть неожиданное).
> Не операционка?
операционка ничего не знает о формате ср-ного png и назначении imagick. Поэтому никак не может угадать, что тому можно открывать а что лучше бы не надо. Максимум что она может - изоляцию по пользовательским id/gid, она это и делает. Чужой ssh ключ тебе не даст вот так "обработать", но как она должна различать запускаемые тобой бинарники лезущие к ТВОЕМУ?
> Брендмауэр какой наконец?
лолшта? Слово красивое узнал где-то?
И да, вот к примеру, пользовательская утилита tar просто НЕ ДАСТ тебе распаковать /etc/passwd
- пока ты явным образом не потребуешь именно этой диверсии (еще и упаковать не даст просто так). Независимо от наличия у тебя прав в операционной системе. И ../../../etc/passwd - тоже не даст - хотя для этого уже программисту пришлось проявить смекалку (на самом деле - уже после того как эту уязвимость нашли).
Потому что наличие права его переписать не означает что в данный момент ты именно этого и хотел. Гораздо вероятнее что ты хотел просто распаковать архив чтобы посмотреть что там.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 11:46
Последняя попытка)
Утилита и её разработчики не несут ответствености ни за что.
Утилита работает? Функции выполняет? Зашибись!Безопасное использование любой утилиты в каждой конкретной ситуации это не проблема утилиты и её авторов
"Уязвимость" в этой новости - небезопасное использование утилиты идиотами.
Как один из вариантов безопасного использования.
https://ru.m.wikipedia.org/wiki/%D0%9A%D0...
Там табличка есть удобная, "реализации", выбор есть
Если ты прикручиваешь утилиту к вебсерверу, ограничения ей поставь на доступ к хосту.
И всё, нет никакой уязвимости.
А утилите(любой) глубоко твой ник, как её используют. И то что на вебсервере уязвимость, то в консоли функционал, ибо так задумано.
Только вебмакаки ленивые, потому изоляцию не ставят и каждый день сюрпризы огребают.
Повторяю:
В новости проблема с вебмакаками, а не с ImageMagick.
У ImageMagick тот функционал, что есть. Оно никому ничего не должно.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 11:48
>>пользовательская утилита tar просто НЕ ДАСТ тебе распаковать /etc/passwdЗа tar искренне рад
Это называется "дружелюбность" наверное и забота о юзере
Такое поведение хорошо, приятно, но не обязательно
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 09:09
ImageMagick всегда будет проблемным куском кода. Изначально он разрабатывался как консольное приложение для локального использования, не как библиотека, и уж точно не как часть сервиса, доступно по сети. Библиотеку из него сделали абы как - там до сих пор заметная часть обработки ошибок - это тупо panic, что нормально для консольного приложения, но неприемлемо для библиотеки. Не говоря уж о минимуме проверок входных данных. Ещё в 2007 году этого накушался, и больше не трогаю, с тех пор в лучшую сторону оно изменилось не сильно.
Благо уже есть масса альтернатив, изначально разработанных как высокопроизводительные библиотеки. Та же libvips.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Анончег , 11-Фев-23 10:41
"Изначально" - я его по-прежнему так и использую и далеко не сразу узнал, что есть странные люди, так его использующие.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 09:13
https://en.m.wikipedia.org/wiki/GraphicsMagickGraphicsMagick is a fork of ImageMagick, emphasizing stability of both programming API and command-line options. It was branched off ImageMagick's version 5.5.2 in 2002
То есть форк за бесплатно был сделан 20 лет назад.
И даже расширение для php есть https://www.php.net/manual/en/intro.gmagick.php
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 07-Фев-23 10:43
> GraphicsMagick is a fork of ImageMagick, emphasizing stability of both programming API and без викивракеров мы бы об этом никак не догадались.
> То есть форк за бесплатно был сделан 20 лет назад.
И застрял на дырявом насквозь коде этой двадцатилетней давности, поэтому и с современными форматами проблемы, и ВСЕ дырки и баги оригинала, включая и нынешнюю, конечно же, унаследовал.
Но вы продолжайте верить в форки от трех васянов обещавших (20 лет назад) всем-показать-как-нада.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 00:19
Сам то ты даже этого не показал
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Геймер , 07-Фев-23 20:33
"Профайл" - не уязвимость, а удобство в определённых случаях обработки метаданных изображений. Речь может идти не об отказе, а о дальнейшем усовершенствовании работы этой функции.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 21:02
А на ImageMagick6 6.9.12.73 уязвимость не проявляется.---
official patch: https://github.com/ImageMagick/ImageMagick6/commit/3c5188b41...
fixed in 6.9.12-67
---
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1030767
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 08-Фев-23 00:44
Если функции начинающиеся с Locale то о чем я подумал (нет, не о конной е6ле на этот раз) - я стал еще худшего мнения о разработчиках этого гуана.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 19:13
https://github.com/ImageMagick/ImageMagick6/blob/main/magick...
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 08-Фев-23 19:40
Зачем вот ты меня заставил читать эту мерзость?Я же тебе не кидал ссылку про верблюда?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 13-Фев-23 12:44
Дыра в imagemagick на новость уже не тянет, когда это в 50ый раз уже. Лучше объясните, что это вообще за profile в png? Почему там будет какой-то путь? Кто-нибудь в другом ПО его обрабатывает? Как это вообще должно включаться в файл, когда я файл скачаю из интернета и на моей пк не будет таких путей, как у создателя изображения?