URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129706
[ Назад ]
Исходное сообщение
"Уязвимость в ImageMagick, приводящая к утечке содержимого локальных файлов"
Отправлено opennews , 06-Фев-23 14:07 
В пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений, выявлена уязвимость CVE-2022-44268, которая может привести к утечке содержимого файлов в случае преобразования при помощи  ImageMagick подготовленных атакующим PNG-изображений. Уязвимость угрожает системам, которые обрабатывают внешние изображения и затем дают возможность загрузить результаты преобразования...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58610

Содержание
Сообщения в этом обсуждении
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено полуфрактал , 06-Фев-23 14:07 
2. OpenNews: Уязвимость в Ghostscript, эксплуатируемая через ImageMagick
3. OpenNews: Уязвимость в ImageMagick, позволившая получить доступ к чужим вложениям в почте Yahoo
4. OpenNews: В рамках проекта ImageFlow началось развитие высокопроизводительной альтернативы ImageMagick
5. OpenNews: Новая критическая уязвимость в GraphicsMagick и ImageMagick
6. OpenNews: Критическая уязвимость в пакете ImageMagick, используемом на многих сайтах

у него есть новости кроме уязвимостей?

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено commiethebeastie , 06-Фев-23 14:25 
Там очень старый и наивный кот. Так что неудивительно.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 21:13 
Так это вы новость писали,- "в случае преобразования при помощи ImageMagick подготовленных атакующим PNG-изображений" о_0
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено ИмяХ , 06-Фев-23 14:14 
Типичная cишная дырeнь. Когда уже всё перепишут на раст?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 14:19 
вот же - В рамках проекта ImageFlow началось развитие высокопроизводительной альтернативы ImageMagick ( https://www.opennet.ru/opennews/art.shtml?num=44552 )
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено АнонимкаРастуимка , 06-Фев-23 14:24 
Скоро
Вот я на го перешёл и не жалею, о расте совсем на жалею, что там мой говнокод прекрасен, что здесь
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено АнонимкаРастуимка , 06-Фев-23 14:25 
Но опять же, плюсики любимые, вы самые красивые!
Я вас не предам! Моя любовь к вам с го напополам!
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 14:58 
Я, конечно, понимаю, что это ШуТкА, но как здесь помог бы раст? Об этой особенности в доках бы написали?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:07 
Неважно, главное - переписать.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:50 
Это двойная, а то и тройная работа.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Массоны Рептилоиды , 06-Фев-23 15:51 
Эксплоит на расте
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 06-Фев-23 16:04 
> Типичная cишная дырeнь. Когда уже всё перепишут на раст?

Ну ты какой-то совсем необучаемый.
"НАЧНУТ переписывать" же ж!


"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено rshadow , 06-Фев-23 14:14 
Это все уязвимо было всегда и будет всегда. Надо запускать в песочнице и будет счастье.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Анонимусс , 06-Фев-23 16:37 
А вдруг в песочнице тоже дырень!
Нужно просто писать без багов, а с багами писать не нужно, дело-то...
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Пенис , 06-Фев-23 22:30 
Ну рано или поздно тот или иной софт закроет 99,9% потребностей пользователей, так что да, можно исправить.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 14:15 
> Таким образом, для атаки достаточно добавить к PNG-изображению параметр "profile" с необходимым файловым путём (например, "/etc/passwd")…

Доверие внешним данным. Классика.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Вечно недовольный аноним , 06-Фев-23 14:19 
Просто надо верить что все люди добрые. Вы пессимист.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:09 
Майор - добрейшей души человек.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Онан сын Иуды , 06-Фев-23 17:55 
Не просто майор, а товарищ майор.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 18:46 
Кому товарщ, а кому и гржаданин.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Бывалый смузихлёб , 07-Фев-23 06:29 
Майор разрабатывает ImageMagick и оставляет в нём эпичные дырищщи ?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 12:39 
Зачем ему самому-то утруждаться? Он просто может "вежливо попросить" других оставить.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 08:30 
Да и майнеры коинов и продавцы персональных данных так то никого не обидят. Особенно - себя.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено rshadow , 06-Фев-23 14:24 
Классика еще и в том что либу пишут те, кому интересна обработка картинок. А о вебе и прочих страшных вещах вполне могут не подумать (не иметь ни опыта, ни желания).
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:18 
И о том, что либа в вебе используется вовсю, авторам никто не сказал.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:55 
а это их проблема? Если их библиотеку выбрали для использования вовсю, то она устраивала по всем параметрам
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 18:28 
Опять суть опенсорса наружу лезет.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 19:18 
и в чем же она?
Напомню, что после прочтения лицензии "опенсурса" у тебя была возможность отказаться от его использования и избежать последствий "сути"
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 06-Фев-23 22:35 
> и в чем же она?

ну очевидно же - сделать г-но на от...сь, загадить поляну так чтоб ничего больше не выросло, сидеть, ждать донейтов. Дыры объявлять фичами и "исправлять" идиотскими полиси-файлами. (обработку pdf они особенно хорошо "исправили")

> у тебя была возможность отказаться от его использования и избежать последствий "сути"

это чем-то отменяет факт что опинсурсь по прежнему - в основном дырявое кривое и гнилое г-но?

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 02:11 
Мне кажется, ты путаешь суть людей с сутью опенсорса. Описанное тобой вполне можно получить и за деньги.

Я просто напоминаю про факт, что конечное решение за тобой. Ты всегда можешь найти людей, которые сделают качественно и на совесть, а не использовать гнилой и дырявый "опинсурсь".

Скушай шоколадку, а то ты злой какой-то

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 09:01 
ImageMagick разоряет конкурентов? Заказывает лживые статьи в СМИ? Какая подлость...

Или может быть причина в том что нет желающих писать за бесплатно аналог уже написанной за бесплатно ImageMagick
И даже форк с упором на безопасность никто за бесплатно тянуть не хочет

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 11:41 
Суть в том, что ВАМНИКТОНИДОЛЖЕН. А в итоге мы имеем каличный Gimp, «готовый для десктопа» линукс, ну вот и сабж тоже.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 17:43 
Суть в том, что у пользователя есть _возможность_ получить исходники. Если пользователь ей воспользовался, то даже при внезапном исчезновении вендора, остается _возможность_ исправлять ошибки в софте, обновлять зависимости, портировать, развивать и т.д.
Всякие кружки по интересам, которые занимаются сопровождением и разработкой, являются лишь бонусом.

"ВАМНИКТОНИДОЛЖЕН" это лишь следствие принятия лицензии по умолчанию — вы с ней согласились, вы ничего не можете требовать, это ваше решение. Никто не мешает вам заключить договор с командой проекта напрямую и выдвигать требования согласно его условиям

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 23:58 
Покупали бы мандриву, она бы не обанкротилась и был бы десктопный Линукс.
Нет? Надо чтобы сделали хорошо и забесплатно?
Покупали бы crossover office была бы совместимость с фотошопом. Нет?
Ну вот и суда нет.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 09-Фев-23 00:02 
Нет денег сделай порт paint.net
А у crossover нет программа для тестировщиков с возможностью голоса.

Но ведь надо не только забесплатно, но и без усилий

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 09-Фев-23 00:11 
3.5 разработка Gimp сделали за бесплатно то что могли, на gegl его 20 лет портируют и всё никак не могут.
Но они хоть что-то сделали в отличии от местных клоунов, для которых потолок это высер в комментарии
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено AKTEON , 06-Фев-23 20:56 
Это вместо того, чтобы заключить с авторами контракт на доработку библиотеки в нужном вам направлении - вы сидите и ждете халявы ?? Сидите и ждите. Ну или сами исправляйте.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 06-Фев-23 22:51 
Ага, щас... с г-ноделами все мечтают заключить контракт на доработки.

> Ну или сами исправляйте.

ну вот ты много сам исправил?

А, ты ж не умеешь кодить, действительно...

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Советский инженер , 07-Фев-23 00:33 
Что? Неудачный день?
Никто контракт с тобой не заключает?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 09:04 
Напиши лучше, покажи свои скилы.
Или ты как очередной эксперт, способен писать только глупые комментарии с оскорблениями разработчиков
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено AKTEON , 07-Фев-23 12:32 
>Ага, щас... с г-ноделами все мечтают заключить контракт на доработки.

ну не заключайте . Автономия воли хозяйствующих субъектов так сказать ...
>ну вот ты много сам исправил?

А зачем ?? Это  ж  не у меня , это у вас пароли утекают - так и пусть утекают дальше, плевать мне на то  с высокой башни на белой горе.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:36 
> А о вебе и прочих страшных вещах вполне могут не подумать

А что если тем, кто занимается вебом, написать необходимый функционал, прислать коммиты и обьяснить владельцам проекта почему это нужно добавить в основную ветку?

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 14:21 
Помню времена, PSP-3000 взламывали PNGшками. А ведь прошло с десяток лет :)
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:51 
Фичи такие фичи.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено анон , 06-Фев-23 14:28 
А почему эту уязвимость заметил васян с завода, а не многомиллиардные компании апле и адобе, которые постоянно внедряют опенсурс в свои платные проекты? Хмммм.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 16:12 
Им надо многомиллиарды считать, а не отвлекаться на какие-то уязвимости.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено iPony129412 , 06-Фев-23 16:33 
А где у Apple imageMagick?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:24 
Об этом гусары молчат обычно.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено анон , 06-Фев-23 19:29 
сd ${ABЫRVALG}/AdobeFotojop.app/Contents/MacOS
./convert | grep ImageMagick

Там еще в бинарях адобовских плагины гимпа и бленера вшиты даже не обфусцированные, но мне лень вспоминать.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено iPony129412 , 07-Фев-23 03:13 
Я про Apple спрашивал.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено 111 , 07-Фев-23 09:29 
https://ports.macports.org/port/ImageMagick/
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено iPony129412 , 07-Фев-23 10:40 
> https://ports.macports.org/port/ImageMagick/

Это троллинг глупостью?

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 19:09 
Потому они это не используют. Это используют в основном php сайты, у которых выполнение произвольного кода при распаковке архива реализовано на уровне языка
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено YetAnotherOnanym , 06-Фев-23 14:54 
> содержимое параметра "profile" из блока метаданных для определения имени файла с профилем, который включается в результирующий файл

Что авторы формата PNG, что авторы ImageMagic - друг друга стОят.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:17 
Авторы PNG здесь обсолютно не при чем: в блоке матаданных может быть любой произвольный текст.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено corvuscor , 06-Фев-23 15:46 
>но разработчики ImageMagick рекомендовали

Зря они не порекомендовали не использовать ImageMagick.
Там и так в политиках куча всего отключено. Конечно, безмерно уважаю разработчиков столь полезной открытой утилиты, но это просто срам какой-то...

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 16:38 
Не надо в веб бекенде использовать такое. Для таких макак и разрабатывают ASP.NET Core + ImageSharp и подобное (где если и упадёт, то не так страшно).
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 16:40 
Только GD, только hurtcore!
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:29 
Конвейеры из программ netpbm.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Омномним , 06-Фев-23 22:24 
Ну допустим у меня есть имахемагик в проектах, но я либо чужие файлы не загружаю, либо результаты назад никому не отдаю :D Почему бы мне его не использовать?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 06-Фев-23 22:55 
оригинальные у тебя прожекты, конечно.

Но вообще-то в большинстве случаев пакетная обработка файлов требуется совсем не для того чтобы что-то обработать и выкинуть. Скорее чтоб выкинуть оригинал.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Омномним , 07-Фев-23 09:36 
Ну а чего оригинальные.
Взять пачку картинок, трансформировать, выдать уже совершенно отличный от исходных картинок результат, сгенерированный с 0.
Взять пришедший PNG, сбросить в TIF, отправить через Asterisk факсом :)
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 07-Фев-23 10:36 
> Ну а чего оригинальные.
> Взять пачку картинок, трансформировать, выдать уже совершенно отличный от исходных картинок
> результат, сгенерированный с 0.

прилепить к нему профиль, из оригинала, который э... оказывается не профиль.
Потому что во-первых это поведение автомагическое, во-вторых в общем и целом нужны какие-то основания его проигнорировать.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Омномним , 07-Фев-23 22:13 
Не, там собственный ICC, потому что смешение может идти из источников с разными ICC.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:49 
файл coders/jpeg.c, функция JPEGSetImageQuality, константные массивы hash и sums не объявлены как статические -- это всё, что нужно знать о програмиздах ImageMagick
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:55 
три програмизда уже отметилось.
ещё?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 09:02 
Покажи свой код
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 14:13 
#include <stdio.h>
int main() {
   printf("Hello, World!");
   return 0;
}
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 15:55 
В каком место это уязвимость то? Это особенность работы с хз чем. И вообще это возможно описано в документации и просто кто-то неправильно формирует PNG-файлы.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:02 
Действительно с какой это стати возможность получить любой файл сервера подсунув на сайте "неправильно сгенерированую" картинку считают уязвимостью...
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено 1 , 06-Фев-23 17:28 
Почему "любой" ? В чруте ты получишь то, что в чруте.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 17:39 
> Действительно с какой это стати возможность получить любой файл

С такой же, как и "особенность работы с памятью", "это было описано в документации, просто кто-то неправильно юзает hyper" и т.п стати

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено fuggy , 06-Фев-23 20:12 
А кто обещал что это на сайте должно работать. Я может локально хочу обрабатывать картинку именно таким образом считывая локальный файл.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 21:51 
Вот-вот сами права доступа задавать не умеют, а потом бочку на ImageMagick катят.  
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено хрю , 06-Фев-23 17:36 
Прыкольно, особенно то что ImageMagic зачастую содержится в больших программных продуктах (в той же alfresco да и в куче других) и зачастую ни пользователи ни админ об этом не в курсах :-)). В неё уже только добра понаходили, что flash уже по-моему обойдён.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 20:09 
Ничего не нашёл на тему профилей в PNG metadata кроме ICC Profile name. И похоже что это не оно.
Так вот вопрос, зачем автор добавил включение произвольных файлов при помощи дырки под названием profile.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 21:50 
Что было удобно добавлять данные в profile или ты данные собрался консольными ключи добавлять в строчку как текст?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Sw00p aka Jerom , 06-Фев-23 20:41 
у всех же дыркер, не?
чего бояться то?
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Омномним , 06-Фев-23 22:08 
Ну да, в принципе по меркам тамошних решёт это мелочь несущественная.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Омномним , 06-Фев-23 22:09 
У кого в дыркерах софт с имажиком, отдающий назад результаты, из-под рута работает - тоже мои поздравления.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 22:52 
[irony]
Так а что делать если докер без рута не работает
[/irony]
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Sw00p aka Jerom , 07-Фев-23 06:16 
дыркер в дыркере:)
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Бывалый смузихлёб , 07-Фев-23 06:34 
Дыркер для упрощения развертывания..
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Омномним , 07-Фев-23 09:39 
Я и грю, многие про привилегии в дыркере вообще не задумываются. Ачо, пусть рут будет. А то, что там можно вытащить какие-нибудь инфраструктурные ключи от софта под рутом - ну, это ж не баг, это фича.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 20:42 
Юзайте libvips, он лучше и быстее.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 06-Фев-23 22:53 
Тогда уж PIL потому что питон это всё.  
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 03:15 
>>В пакете ImageMagick, который

На минуточку, затевался как консольная утилита для обработки изображений в консоли пользователем с правами пользователя


>>часто используется web-разработчиками для преобразования изображений

А подумать до использования им нечем

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 07-Фев-23 10:40 
>>>В пакете ImageMagick, который
> На минуточку, затевался как консольная утилита для обработки изображений в консоли пользователем

угу, пользователь же ж мечтает попердолиться в консоли вручную. Для того ж и консоль (а совсем не для того чтоб использовать автоматизацию подобных задач).

> с правами пользователя

С правами пользователя вполне читаем .ssh/id_rsa и многое другое чего.

Конечно же непременно нужно это все зафигачить в фотку на документы какому-нибудь нелоху.

>>>часто используется web-разработчиками для преобразования изображений
> А подумать до использования им нечем

они как раз используют по назначению. Но давным-давно пора было понять что назначение у конкретно этого пакета - в мусорку.
Его разрабатывали в прекрасные древние дни, когда думать прежде чем пихать в код чтение первых попавшихся файлов по символьной ссылке было неположено.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 00:05 
Конечно, виноваты разрабы утилиты

Вот про rm сразу предупредили всех, что нельзя прикручивать в вебморде без контроля входных параметров

А про ImageMagick предупредить не соизволили

>>для того чтоб использовать автоматизацию

Разница между запуском своим скриптом или в составе самостоятельно написанной команды и выполнением от вебсервера с неконтролируемыми параметрами неочевидна?

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 08-Фев-23 09:44 
Внезапно, rm this-shit не удаляет /etc/passwd - ДАЖЕ если в this-shit двести раз повторить эту строчку и даже если запустить от рута.

Поэтому для нее - достаточно проверить именно входные параметры. А для имажика оказывается норм лезть в файлы по команде, найденной внутри файла. Ну местные эксперты не видят жеж разницы.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 00:10 
>> когда думать прежде чем пихать в код чтение первых попавшихся файлов по символьной ссылке было неположено

Защита через "соглашение о не чтении данных пользователем"
Тоесть писать программы надо так, чтоб не прочитать случайно что-то, что низя.
А то вдруг это куда-то передастся.

Трезвый хоть?

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 08-Фев-23 00:34 
Ну уж явно не так чтобы читая явно заданный в команде файл, ВНЕЗАПНО прочитать заодно и совершенно неожиданный, причем ни вопросов не задавая (хотя бы отдельного ключа НЕ включенного по умолчанию) ни ограничением хотя бы разумных путей не парясь, да еще воткнуть его содержимое в результат.  Тоже без шума и пыли.

Причем я уверен что существует ровно НОЛЬ пользователей волшебной консоли вручную запускателей imagemagick (в принципе, можно тут точку, их уже ноль) и при этом использующих профили из внешних файлов еще и по абсолютному пути.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 01:06 
Попробуем иначе
Заменим ImageMagick на какую угодно другую утилиту
Обработка .png + путь в profile
Точно именно пользовательские утилиты должны следить за безопасностью пути в profile?
Защищать его от чтения и записи?
Не операционка?
Брендмауэр какой наконец?

Конечно, это зона ответственности утилит. Утилиты не должны использовать предоставленный им доступ. По-джентельменски.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 08-Фев-23 09:37 
Блин, вы тут все реально такие т-пые какими кажетесь? Или это от стекломоя по утрам?

> Точно именно пользовательские утилиты должны следить за безопасностью пути в profile?

а кто за них должен? Ты лезешь обрабатывать файл, в чудо-системе 70х годов где у него даже нет меток, позволяющих хотя бы предположить что его не из интернетов притащили (как есть в системах 90х) - хотя анализ таких меток тоже мало чем может помочь кроме крайних случаев.

Ты его лезешь обрабатывать консольной утилитой, которая заточена на пакетное пережевывание и выхлоп которой разбирать обычно некому, даже если бы она могла что-то сказать и спросить.

Ты с радостью великой ВМЕСТО того что тебе было пальцем ткнуто - лезешь открывать какие-то произвольные файлы где-то где вообще можешь до них дотянуться, без малейшего намека пользователю (вот он точно не обязан догадываться что тебе велели ресайзнуть вот ЭТО, а ты полезло хрен знает куда потому что оказывается у ЭТОГО в заголовке может быть неожиданное).

> Не операционка?

операционка ничего не знает о формате ср-ного png и назначении imagick. Поэтому никак не может угадать, что тому можно открывать а что лучше бы не надо. Максимум что она может - изоляцию по пользовательским id/gid, она это и делает. Чужой ssh ключ тебе не даст вот так "обработать", но как она должна различать запускаемые тобой бинарники лезущие к ТВОЕМУ?

> Брендмауэр какой наконец?

лолшта? Слово красивое узнал где-то?


И да, вот к примеру, пользовательская утилита tar просто НЕ ДАСТ тебе распаковать /etc/passwd
- пока ты явным образом не потребуешь именно этой диверсии (еще и упаковать не даст просто так). Независимо от наличия у тебя прав в операционной системе. И ../../../etc/passwd - тоже не даст - хотя для этого уже программисту пришлось проявить смекалку (на самом деле - уже после того как эту уязвимость нашли).

Потому что наличие права его переписать не означает что в данный момент ты именно этого и хотел. Гораздо вероятнее что ты хотел просто распаковать архив чтобы посмотреть что там.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 11:46 
Последняя попытка)
Утилита и её разработчики не несут ответствености ни за что.
Утилита работает? Функции выполняет? Зашибись!

Безопасное использование любой утилиты в каждой конкретной ситуации это не проблема утилиты и её авторов

"Уязвимость" в этой новости - небезопасное использование утилиты идиотами.

Как один из вариантов безопасного использования.

https://ru.m.wikipedia.org/wiki/%D0%9A%D0...

Там табличка есть удобная, "реализации", выбор есть

Если ты прикручиваешь утилиту к вебсерверу, ограничения ей поставь на доступ к хосту.

И всё, нет никакой уязвимости.
А утилите(любой) глубоко твой ник, как её используют. И то что на вебсервере уязвимость, то в консоли функционал, ибо так задумано.

Только вебмакаки ленивые, потому изоляцию не ставят и каждый день сюрпризы огребают.

Повторяю:
В новости проблема с вебмакаками, а не с ImageMagick.
У ImageMagick тот функционал, что есть. Оно никому ничего не должно.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 11:48 
>>пользовательская утилита tar просто НЕ ДАСТ тебе распаковать /etc/passwd

За tar искренне рад
Это называется "дружелюбность" наверное и забота о юзере
Такое поведение хорошо, приятно, но не обязательно

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 09:09 
ImageMagick всегда будет проблемным куском кода. Изначально он разрабатывался как консольное приложение для локального использования, не как библиотека, и уж точно не как часть сервиса, доступно по сети. Библиотеку из него сделали абы как - там до сих пор заметная часть обработки ошибок - это тупо panic, что нормально для консольного приложения, но неприемлемо для библиотеки. Не говоря уж о минимуме проверок входных данных. Ещё в 2007 году этого накушался, и больше не трогаю, с тех пор в лучшую сторону оно изменилось не сильно.

Благо уже есть масса альтернатив, изначально разработанных как высокопроизводительные библиотеки. Та же libvips.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Анончег , 11-Фев-23 10:41 
"Изначально" - я его по-прежнему так и использую и далеко не сразу узнал, что есть странные люди, так его использующие.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 09:13 
https://en.m.wikipedia.org/wiki/GraphicsMagick

GraphicsMagick is a fork of ImageMagick, emphasizing stability of both programming API and command-line options. It was branched off ImageMagick's version 5.5.2 in 2002

То есть форк за бесплатно был сделан 20 лет назад.
И даже расширение для php есть https://www.php.net/manual/en/intro.gmagick.php

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 07-Фев-23 10:43 
> GraphicsMagick is a fork of ImageMagick, emphasizing stability of both programming API and

без викивракеров мы бы об этом никак не догадались.

> То есть форк за бесплатно был сделан 20 лет назад.

И застрял на дырявом насквозь коде этой двадцатилетней давности, поэтому и с современными форматами проблемы, и ВСЕ дырки и баги оригинала, включая и нынешнюю, конечно же, унаследовал.

Но вы продолжайте верить в форки от трех васянов обещавших (20 лет назад) всем-показать-как-нада.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 00:19 
Сам то ты даже этого не показал
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Геймер , 07-Фев-23 20:33 
"Профайл" - не уязвимость, а удобство в определённых случаях обработки метаданных изображений. Речь может идти не об отказе, а о дальнейшем усовершенствовании работы этой функции.
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 07-Фев-23 21:02 
А на ImageMagick6 6.9.12.73 уязвимость не проявляется.

---
official patch: https://github.com/ImageMagick/ImageMagick6/commit/3c5188b41...

fixed in 6.9.12-67
---
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1030767

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 08-Фев-23 00:44 
Если функции начинающиеся с Locale то о чем я подумал (нет, не о конной е6ле на этот раз) - я стал еще худшего мнения о разработчиках этого гуана.

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 08-Фев-23 19:13 
https://github.com/ImageMagick/ImageMagick6/blob/main/magick...
"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено пох. , 08-Фев-23 19:40 
Зачем вот ты меня заставил читать эту мерзость?

Я же тебе не кидал ссылку про верблюда?

"Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."
Отправлено Аноним , 13-Фев-23 12:44 
Дыра в imagemagick на новость уже не тянет, когда это в 50ый раз уже. Лучше объясните, что это вообще за profile в png? Почему там будет какой-то путь? Кто-нибудь в другом ПО его обрабатывает? Как это вообще должно включаться в файл, когда я файл скачаю из интернета и на моей пк не будет таких путей, как у создателя изображения?