Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в ImageMagick, приводящая к утечке содержимого локальных файлов, opennews (?), 06-Фев-23, (0) [смотреть все] 2 OpenNews Уязвимость в Ghostscript, эксплуатируемая через ImageMagick3 OpenN, полуфрактал (?), 14:07 , 06-Фев-23, (1) +3 // Там очень старый и наивный кот Так что неудивительно , commiethebeastie (ok), 14:25 , 06-Фев-23, (12) +12 // Так это вы новость писали,- в случае преобразования при помощи ImageMagick подг, Аноним (65), 21:13 , 06-Фев-23, (65) –1 Скрыто модератором, ИмяХ (?), 14:14 , 06-Фев-23, (2) –14 // Скрыто модератором, Аноним (6), 14:19 , 06-Фев-23, (6) +1 Скрыто модератором, АнонимкаРастуимка (?), 14:24 , 06-Фев-23, (10) +2 // Скрыто модератором, АнонимкаРастуимка (?), 14:25 , 06-Фев-23, (11) Скрыто модератором, Аноним (15), 14:58 , 06-Фев-23, (15) +2 // Скрыто модератором, Аноним (16), 15:07 , 06-Фев-23, (16) +1 // Скрыто модератором, Аноним (23), 15:50 , 06-Фев-23, (23) Скрыто модератором, Массоны Рептилоиды (?), 15:51 , 06-Фев-23, (24) Скрыто модератором, пох. (?), 16:04 , 06-Фев-23, (28) +1 Это все уязвимо было всегда и будет всегда Надо запускать в песочнице и будет с, rshadow (ok), 14:14 , 06-Фев-23, (3) // А вдруг в песочнице тоже дырень Нужно просто писать без багов, а с багами писать, Анонимусс (?), 16:37 , 06-Фев-23, (32) +2 // Ну рано или поздно тот или иной софт закроет 99,9 потребностей пользователей, т, Пенис (?), 22:30 , 06-Фев-23, (71) Доверие внешним данным Классика , Аноним (4), 14:15 , 06-Фев-23, (4) +7 // Просто надо верить что все люди добрые Вы пессимист , Вечно недовольный аноним (?), 14:19 , 06-Фев-23, (7) +3 // Майор - добрейшей души человек , Аноним (16), 15:09 , 06-Фев-23, (17) +3 // Не просто майор, а товарищ майор , Онан сын Иуды (?), 17:55 , 06-Фев-23, (48) Кому товарщ, а кому и гржаданин , Аноним (56), 18:46 , 06-Фев-23, (56) +3 Майор разрабатывает ImageMagick и оставляет в нём эпичные дырищщи , Бывалый смузихлёб (?), 06:29 , 07-Фев-23, (85) Зачем ему самому-то утруждаться Он просто может вежливо попросить других оста, Аноним (108), 12:39 , 07-Фев-23, (108) Да и майнеры коинов и продавцы персональных данных так то никого не обидят Особ, Аноним (-), 08:30 , 07-Фев-23, (87) Классика еще и в том что либу пишут те, кому интересна обработка картинок А о в, rshadow (ok), 14:24 , 06-Фев-23, (9) +9 // И о том, что либа в вебе используется вовсю, авторам никто не сказал , Аноним (56), 15:18 , 06-Фев-23, (19) +2 // а это их проблема Если их библиотеку выбрали для использования вовсю, то она ус, Аноним (50), 17:55 , 06-Фев-23, (50) +3 Опять суть опенсорса наружу лезет , Аноним (56), 18:28 , 06-Фев-23, (54) –3 и в чем же она Напомню, что после прочтения лицензии опенсурса у тебя была воз, Аноним (50), 19:18 , 06-Фев-23, (58) +6 ну очевидно же - сделать г-но на от сь, загадить поляну так чтоб ничего больше, пох. (?), 22:35 , 06-Фев-23, (72) –7 Мне кажется, ты путаешь суть людей с сутью опенсорса Описанное тобой вполне мож, Аноним (50), 02:11 , 07-Фев-23, (79) ImageMagick разоряет конкурентов Заказывает лживые статьи в СМИ Какая подлость, Аноним (88), 09:01 , 07-Фев-23, (88) Суть в том, что ВАМНИКТОНИДОЛЖЕН А в итоге мы имеем каличный Gimp, 171 готовы, Аноним (56), 11:41 , 07-Фев-23, (106) –2 Суть в том, что у пользователя есть _возможность_ получить исходники Если польз, Аноним (50), 17:43 , 07-Фев-23, (111) Покупали бы мандриву, она бы не обанкротилась и был бы десктопный Линукс Нет На, Аноним (88), 23:58 , 08-Фев-23, (127) Нет денег сделай порт paint netА у crossover нет программа для тестировщиков с в, Аноним (88), 00:02 , 09-Фев-23, (128) 3 5 разработка Gimp сделали за бесплатно то что могли, на gegl его 20 лет портир, Аноним (88), 00:11 , 09-Фев-23, (129) Это вместо того, чтобы заключить с авторами контракт на доработку библиотеки в н, AKTEON (?), 20:56 , 06-Фев-23, (64) +3 Ага, щас с г-ноделами все мечтают заключить контракт на доработки ну вот ты м, пох. (?), 22:51 , 06-Фев-23, (73) –2 Что Неудачный день Никто контракт с тобой не заключает , Советский инженер (?), 00:33 , 07-Фев-23, (77) Напиши лучше, покажи свои скилы Или ты как очередной эксперт, способен писать то, Аноним (88), 09:04 , 07-Фев-23, (90) ну не заключайте Автономия воли хозяйствующих субъектов так сказать А зачем, AKTEON (?), 12:32 , 07-Фев-23, (107) А что если тем, кто занимается вебом, написать необходимый функционал, прислать , Аноним (15), 15:36 , 06-Фев-23, (20) +6 Помню времена, PSP-3000 взламывали PNGшками А ведь прошло с десяток лет , Аноним (8), 14:21 , 06-Фев-23, (8) +6 // Фичи такие фичи , Аноним (23), 15:51 , 06-Фев-23, (25) А почему эту уязвимость заметил васян с завода, а не многомиллиардные компании а, анон (?), 14:28 , 06-Фев-23, (13) +6 // Им надо многомиллиарды считать, а не отвлекаться на какие-то уязвимости , Аноним (29), 16:12 , 06-Фев-23, (29) +2 А где у Apple imageMagick , iPony129412 (?), 16:33 , 06-Фев-23, (31) +2 // Об этом гусары молчат обычно , Аноним (38), 17:24 , 06-Фев-23, (38) +2 сd ABЫRVALG AdobeFotojop app Contents MacOS convert 124 grep ImageMagickТ, анон (?), 19:29 , 06-Фев-23, (59) +4 // Я про Apple спрашивал , iPony129412 (?), 03:13 , 07-Фев-23, (80) –1 https ports macports org port ImageMagick , 111 (??), 09:29 , 07-Фев-23, (95) –1 // Это троллинг глупостью , iPony129412 (?), 10:40 , 07-Фев-23, (102) –2 Потому они это не используют Это используют в основном php сайты, у которых вып, Аноним (88), 19:09 , 06-Фев-23, (57) +2 Что авторы формата PNG, что авторы ImageMagic - друг друга стОят , YetAnotherOnanym (ok), 14:54 , 06-Фев-23, (14) –1 // Авторы PNG здесь обсолютно не при чем в блоке матаданных может быть любой произ, Аноним (37), 17:17 , 06-Фев-23, (37) +3 Зря они не порекомендовали не использовать ImageMagick Там и так в политиках куч, corvuscor (ok), 15:46 , 06-Фев-23, (21) +2 // Не надо в веб бекенде использовать такое Для таких макак и разрабатывают ASP NE, Аноним (33), 16:38 , 06-Фев-23, (33) // Только GD, только hurtcore , Аноним (34), 16:40 , 06-Фев-23, (34) +2 // Конвейеры из программ netpbm , Аноним (41), 17:29 , 06-Фев-23, (41) Ну допустим у меня есть имахемагик в проектах, но я либо чужие файлы не загружаю, Омномним (?), 22:24 , 06-Фев-23, (70) // оригинальные у тебя прожекты, конечно Но вообще-то в большинстве случаев пакетна, пох. (?), 22:55 , 06-Фев-23, (76) // Ну а чего оригинальные Взять пачку картинок, трансформировать, выдать уже совер, Омномним (?), 09:36 , 07-Фев-23, (96) прилепить к нему профиль, из оригинала, который э оказывается не профиль Пото, пох. (?), 10:36 , 07-Фев-23, (101) Не, там собственный ICC, потому что смешение может идти из источников с разными , Омномним (?), 22:13 , 07-Фев-23, (114) файл coders jpeg c, функция JPEGSetImageQuality, константные массивы hash и sums, Аноним (22), 15:49 , 06-Фев-23, (22) –2 // три програмизда уже отметилось ещё , Аноним (22), 17:55 , 06-Фев-23, (47) // Покажи свой код, Аноним (89), 09:02 , 07-Фев-23, (89) // include stdio h int main printf Hello, World return 0 , Аноним (110), 14:13 , 07-Фев-23, (110) В каком место это уязвимость то Это особенность работы с хз чем И вообще это в, Аноним (26), 15:55 , 06-Фев-23, (26) –1 // Действительно с какой это стати возможность получить любой файл сервера подсунув, Аноним (35), 17:02 , 06-Фев-23, (35) +1 // Почему любой В чруте ты получишь то, что в чруте , 1 (??), 17:28 , 06-Фев-23, (40) С такой же, как и особенность работы с памятью , это было описано в документац, Аноним (26), 17:39 , 06-Фев-23, (44) А кто обещал что это на сайте должно работать Я может локально хочу обрабатыват, fuggy (ok), 20:12 , 06-Фев-23, (61) +3 Вот-вот сами права доступа задавать не умеют, а потом бочку на ImageMagick катят, Аноним (67), 21:51 , 06-Фев-23, (67) +1 Прыкольно, особенно то что ImageMagic зачастую содержится в больших программных , хрю (?), 17:36 , 06-Фев-23, (43) +2 Ничего не нашёл на тему профилей в PNG metadata кроме ICC Profile name И похоже, Аноним (60), 20:09 , 06-Фев-23, (60) // Что было удобно добавлять данные в profile или ты данные собрался консольными кл, Аноним (67), 21:50 , 06-Фев-23, (66) +1 у всех же дыркер, не чего бояться то , Sw00p aka Jerom (?), 20:41 , 06-Фев-23, (62) // Ну да, в принципе по меркам тамошних решёт это мелочь несущественная , Омномним (?), 22:08 , 06-Фев-23, (68) +2 У кого в дыркерах софт с имажиком, отдающий назад результаты, из-под рута работа, Омномним (?), 22:09 , 06-Фев-23, (69) +1 // irony Так а что делать если докер без рута не работает irony , Аноним (67), 22:52 , 06-Фев-23, (74) +1 // дыркер в дыркере , Sw00p aka Jerom (?), 06:16 , 07-Фев-23, (84) +1 Дыркер для упрощения развертывания , Бывалый смузихлёб (?), 06:34 , 07-Фев-23, (86) // Я и грю, многие про привилегии в дыркере вообще не задумываются Ачо, пусть рут , Омномним (?), 09:39 , 07-Фев-23, (97) Юзайте libvips, он лучше и быстее , Аноним (63), 20:42 , 06-Фев-23, (63) +4 // Тогда уж PIL потому что питон это всё , Аноним (67), 22:53 , 06-Фев-23, (75) –2 На минуточку, затевался как консольная утилита для обработки изображений в консо, Аноним (81), 03:15 , 07-Фев-23, (81) +1   // угу, пользователь же ж мечтает попердолиться в консоли вручную Для того ж и кон, пох. (?), 10:40 , 07-Фев-23, (103) –1   // Конечно, виноваты разрабы утилитыВот про rm сразу предупредили всех, что нельзя , Аноним (81), 00:05 , 08-Фев-23, (115) +2   // Внезапно, rm this-shit не удаляет etc passwd - ДАЖЕ если в this-shit двести раз, пох. (?), 09:44 , 08-Фев-23, (122)   Защита через соглашение о не чтении данных пользователем Тоесть писать программ, Аноним (81), 00:10 , 08-Фев-23, (116) +4   // Ну уж явно не так чтобы читая явно заданный в команде файл, ВНЕЗАПНО прочитать з, пох. (?), 00:34 , 08-Фев-23, (118) –1   Попробуем иначеЗаменим ImageMagick на какую угодно другую утилитуОбработка png , Аноним (81), 01:06 , 08-Фев-23, (120) +2   Блин, вы тут все реально такие т-пые какими кажетесь Или это от стекломоя по ут, пох. (?), 09:37 , 08-Фев-23, (121) –3   Последняя попытка Утилита и её разработчики не несут ответствености ни за что Ут, Аноним (81), 11:46 , 08-Фев-23, (123) +3   За tar искренне радЭто называется дружелюбность наверное и забота о юзереТакое, Аноним (81), 11:48 , 08-Фев-23, (124) +3   ImageMagick всегда будет проблемным куском кода Изначально он разрабатывался ка, Аноним (91), 09:09 , 07-Фев-23, (91) +4 // Изначально - я его по-прежнему так и использую и далеко не сразу узнал, что ес, Анончег (?), 10:41 , 11-Фев-23, (130) https en m wikipedia org wiki GraphicsMagickGraphicsMagick is a fork of ImageM, Аноним (88), 09:13 , 07-Фев-23, (94) –1 // без викивракеров мы бы об этом никак не догадались И застрял на дырявом насквозь, пох. (?), 10:43 , 07-Фев-23, (104) // Сам то ты даже этого не показал, Аноним (88), 00:19 , 08-Фев-23, (117) Профайл - не уязвимость, а удобство в определённых случаях обработки метаданны, Геймер (?), 20:33 , 07-Фев-23, (112) А на ImageMagick6 6 9 12 73 уязвимость не проявляется ---official patch https , Аноним (113), 21:02 , 07-Фев-23, (113) // Если функции начинающиеся с Locale то о чем я подумал нет, не о конной е6ле на , пох. (?), 00:44 , 08-Фев-23, (119) // https github com ImageMagick ImageMagick6 blob main magick locale c L1411, Аноним (125), 19:13 , 08-Фев-23, (125) // Зачем вот ты меня заставил читать эту мерзость Я же тебе не кидал ссылку про вер, пох. (?), 19:40 , 08-Фев-23, (126) Дыра в imagemagick на новость уже не тянет, когда это в 50ый раз уже Лучше объя, Аноним (131), 12:44 , 13-Фев-23, (131) 1,3,4,8,13,14,21,22,26,43,60,62,63,81,91,94,112,113,131

Сообщения

[Сортировка по времени | RSS]

81. "Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."	+1 +/–
Сообщение от Аноним (81), 07-Фев-23, 03:15
>>В пакете ImageMagick, который На минуточку, затевался как консольная утилита для обработки изображений в консоли пользователем с правами пользователя >>часто используется web-разработчиками для преобразования изображений А подумать до использования им нечем
Ответить | Правка | Наверх | Cообщить модератору

	103. "Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."	–1 +/–
	Сообщение от пох. (?), 07-Фев-23, 10:40
	>>>В пакете ImageMagick, который > На минуточку, затевался как консольная утилита для обработки изображений в консоли пользователем угу, пользователь же ж мечтает попердолиться в консоли вручную. Для того ж и консоль (а совсем не для того чтоб использовать автоматизацию подобных задач). > с правами пользователя С правами пользователя вполне читаем .ssh/id_rsa и многое другое чего. Конечно же непременно нужно это все зафигачить в фотку на документы какому-нибудь нелоху. >>>часто используется web-разработчиками для преобразования изображений > А подумать до использования им нечем они как раз используют по назначению. Но давным-давно пора было понять что назначение у конкретно этого пакета - в мусорку. Его разрабатывали в прекрасные древние дни, когда думать прежде чем пихать в код чтение первых попавшихся файлов по символьной ссылке было неположено.
	Ответить | Правка | Наверх | Cообщить модератору

	115. "Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."	+2 +/–
	Сообщение от Аноним (81), 08-Фев-23, 00:05
	Конечно, виноваты разрабы утилиты Вот про rm сразу предупредили всех, что нельзя прикручивать в вебморде без контроля входных параметров А про ImageMagick предупредить не соизволили >>для того чтоб использовать автоматизацию Разница между запуском своим скриптом или в составе самостоятельно написанной команды и выполнением от вебсервера с неконтролируемыми параметрами неочевидна?
	Ответить | Правка | Наверх | Cообщить модератору

	122. "Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."	+/–
	Сообщение от пох. (?), 08-Фев-23, 09:44
	Внезапно, rm this-shit не удаляет /etc/passwd - ДАЖЕ если в this-shit двести раз повторить эту строчку и даже если запустить от рута. Поэтому для нее - достаточно проверить именно входные параметры. А для имажика оказывается норм лезть в файлы по команде, найденной внутри файла. Ну местные эксперты не видят жеж разницы.
	Ответить | Правка | Наверх | Cообщить модератору

	116. "Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."	+4 +/–
	Сообщение от Аноним (81), 08-Фев-23, 00:10
	>> когда думать прежде чем пихать в код чтение первых попавшихся файлов по символьной ссылке было неположено Защита через "соглашение о не чтении данных пользователем" Тоесть писать программы надо так, чтоб не прочитать случайно что-то, что низя. А то вдруг это куда-то передастся. Трезвый хоть?
	Ответить | Правка | К родителю #103 | Наверх | Cообщить модератору

	118. "Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."	–1 +/–
	Сообщение от пох. (?), 08-Фев-23, 00:34
	Ну уж явно не так чтобы читая явно заданный в команде файл, ВНЕЗАПНО прочитать заодно и совершенно неожиданный, причем ни вопросов не задавая (хотя бы отдельного ключа НЕ включенного по умолчанию) ни ограничением хотя бы разумных путей не парясь, да еще воткнуть его содержимое в результат.  Тоже без шума и пыли. Причем я уверен что существует ровно НОЛЬ пользователей волшебной консоли вручную запускателей imagemagick (в принципе, можно тут точку, их уже ноль) и при этом использующих профили из внешних файлов еще и по абсолютному пути.
	Ответить | Правка | Наверх | Cообщить модератору

	120. "Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."	+2 +/–
	Сообщение от Аноним (81), 08-Фев-23, 01:06
	Попробуем иначе Заменим ImageMagick на какую угодно другую утилиту Обработка .png + путь в profile Точно именно пользовательские утилиты должны следить за безопасностью пути в profile? Защищать его от чтения и записи? Не операционка? Брендмауэр какой наконец? Конечно, это зона ответственности утилит. Утилиты не должны использовать предоставленный им доступ. По-джентельменски.
	Ответить | Правка | Наверх | Cообщить модератору

	121. "Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."	–3 +/–
	Сообщение от пох. (?), 08-Фев-23, 09:37
	Блин, вы тут все реально такие т-пые какими кажетесь? Или это от стекломоя по утрам? > Точно именно пользовательские утилиты должны следить за безопасностью пути в profile? а кто за них должен? Ты лезешь обрабатывать файл, в чудо-системе 70х годов где у него даже нет меток, позволяющих хотя бы предположить что его не из интернетов притащили (как есть в системах 90х) - хотя анализ таких меток тоже мало чем может помочь кроме крайних случаев. Ты его лезешь обрабатывать консольной утилитой, которая заточена на пакетное пережевывание и выхлоп которой разбирать обычно некому, даже если бы она могла что-то сказать и спросить. Ты с радостью великой ВМЕСТО того что тебе было пальцем ткнуто - лезешь открывать какие-то произвольные файлы где-то где вообще можешь до них дотянуться, без малейшего намека пользователю (вот он точно не обязан догадываться что тебе велели ресайзнуть вот ЭТО, а ты полезло хрен знает куда потому что оказывается у ЭТОГО в заголовке может быть неожиданное). > Не операционка? операционка ничего не знает о формате ср-ного png и назначении imagick. Поэтому никак не может угадать, что тому можно открывать а что лучше бы не надо. Максимум что она может - изоляцию по пользовательским id/gid, она это и делает. Чужой ssh ключ тебе не даст вот так "обработать", но как она должна различать запускаемые тобой бинарники лезущие к ТВОЕМУ? > Брендмауэр какой наконец? лолшта? Слово красивое узнал где-то? И да, вот к примеру, пользовательская утилита tar просто НЕ ДАСТ тебе распаковать /etc/passwd - пока ты явным образом не потребуешь именно этой диверсии (еще и упаковать не даст просто так). Независимо от наличия у тебя прав в операционной системе. И ../../../etc/passwd - тоже не даст - хотя для этого уже программисту пришлось проявить смекалку (на самом деле - уже после того как эту уязвимость нашли). Потому что наличие права его переписать не означает что в данный момент ты именно этого и хотел. Гораздо вероятнее что ты хотел просто распаковать архив чтобы посмотреть что там.
	Ответить | Правка | Наверх | Cообщить модератору

	123. "Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."	+3 +/–
	Сообщение от Аноним (81), 08-Фев-23, 11:46
	Последняя попытка) Утилита и её разработчики не несут ответствености ни за что. Утилита работает? Функции выполняет? Зашибись! Безопасное использование любой утилиты в каждой конкретной ситуации это не проблема утилиты и её авторов "Уязвимость" в этой новости - небезопасное использование утилиты идиотами. Как один из вариантов безопасного использования. https://ru.m.wikipedia.org/wiki/%D0%9A%D0... Там табличка есть удобная, "реализации", выбор есть Если ты прикручиваешь утилиту к вебсерверу, ограничения ей поставь на доступ к хосту. И всё, нет никакой уязвимости. А утилите(любой) глубоко твой ник, как её используют. И то что на вебсервере уязвимость, то в консоли функционал, ибо так задумано. Только вебмакаки ленивые, потому изоляцию не ставят и каждый день сюрпризы огребают. Повторяю: В новости проблема с вебмакаками, а не с ImageMagick. У ImageMagick тот функционал, что есть. Оно никому ничего не должно.
	Ответить | Правка | Наверх | Cообщить модератору

	124. "Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."	+3 +/–
	Сообщение от Аноним (81), 08-Фев-23, 11:48
	>>пользовательская утилита tar просто НЕ ДАСТ тебе распаковать /etc/passwd За tar искренне рад Это называется "дружелюбность" наверное и забота о юзере Такое поведение хорошо, приятно, но не обязательно
	Ответить | Правка | К родителю #121 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема