The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Критическая уязвимость в библиотеке ImageMagick, используемо..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в библиотеке ImageMagick, используемо..."  +/
Сообщение от opennews on 04-Май-16, 10:08 
В библиотеке ImageMagick (http://www.imagemagick.org/), которая часто используется web-разработчиками для преобразования изображений (например, создания миниатюр), устранена (http://openwall.com/lists/oss-security/2016/05/03/13) порция уязвимостей (http://www.openwall.com/lists/oss-security/2016/05/03/18), среди которых имеется критическая проблема (CVE-2016-3714), позволяющая организовать выполнение кода при обработке специально оформленных изображений. В том числе проблеме подвержены пользователи пакетов PHP imagick, Ruby rmagick,  Ruby paperclip и Node.js imagemagick. Уязвимости присвоено имя "ImageTragick (https://imagetragick.com/)".

Исследователями уже подготовлен (http://www.openwall.com/lists/oss-security/2016/05/03/18) рабочий прототип эксплоита, который вероятно уже взят злоумышленниками на вооружение для проведения атак (имеются сведения, что информация об уязвимости стала доступна посторонним до обнародования проблемы). Всем пользователям рекомендуется незамедлительно обновить ImageMagick, но  на момент написания новости исправление доступно в виде сомнительного с точки зрения надёжности патча (https://github.com/ImageMagick/ImageMagick/commit/a347456a1e...). Обновления пакетов для дистрибутивов еще не сформированы: Debian (https://security-tracker.debian.org/tracker/CVE-2016-3714), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2...), RHEL/CentOS (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-3714), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-3714), openSUSE (https://lists.opensuse.org/opensuse-security-announce/2016-05/), FreeBSD (http://www.vuxml.org/freebsd/), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F23&type=s...).


В качестве обходного пути защиты пользователям ImageMagick рекомендуется отключить проблемные типы обработчиков в файле конфигурации /etc/ImageMagick/policy.xml (https://gist.github.com/rawdigits/d73312d21c8584590783a5e07e...). Кроме того, предлагается реализовать проверку поступающих на обработку изображений на предмет соответствия расширения файла и его идентификатора в заголовке файла (GIF - "47 49 46 38", JPEG - "FF D8" и т.п.).


Уязвимость вызвана (http://www.openwall.com/lists/oss-security/2016/05/03/18) ненадлежащей проверкой имён файлов при вызове внешних обработчиков, которые вызываются при помощи функции system() с использованием одной строки, без разделения опций. Так как параметр с именем файла (%M) передаётся напрямую без чистки и имеется возможность передачи произвольных спецсимволов, не составляет труда осуществить подстановку любых shell-команд. Например, обработчик HTTPS оформлен как '"wget" -q -O "%o" "https:%M"', что позволяет вместо имени хоста указать '"https://example.com" |ls "-la"' и выполнить команду 'ls -la'.

URL: http://openwall.com/lists/oss-security/2016/05/03/13
Новость: https://www.opennet.ru/opennews/art.shtml?num=44371

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критическая уязвимость в библиотеке ImageMagick, используемо..."  +/
Сообщение от анон on 04-Май-16, 10:08 
стоп. т.е. если файл был получен от пользователя в request и его сохранили локально не под его настоящим именем, а под автогенерированным(с сохранением расширения), а потом обработали imageMagick-ом, то серверу ничего не будет?
если да, то это тогда webMonkeyTragick.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Критическая уязвимость в библиотеке ImageMagick, используемо..."  +3 +/
Сообщение от анон on 04-Май-16, 10:41 
охохох. если все так и обстоит с svg и ко, то это просто дыра космического масштаба=(
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

46. "Критическая уязвимость в библиотеке ImageMagick, используемо..."  +2 +/
Сообщение от Ухаха on 05-Май-16, 10:05 
Речь только о "формате" MVG, содержимое которого является набором команд Imagemagick, которые могут принимать активное содержимое.

Чтобы оказаться уязвимым, нужно принимать и обрабатывать это файло со стороны.

Все равно, что shell-доступ без пароля.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

54. "Критическая уязвимость в библиотеке ImageMagick, используемо..."  +/
Сообщение от Аноним (??) on 09-Май-16, 02:41 
Можно назвать это photo.jpg, далее image magic при попытке сконвертировать казалось бы жыпег немного выполнит команды, не только свои но и системные.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

28. "Критическая уязвимость в библиотеке ImageMagick, используемо..."  +/
Сообщение от Аноним (??) on 04-Май-16, 13:47 
> а под автогенерированным(с сохранением расширения), а потом обработали imageMagick-ом, то серверу ничего не будет?

Нет, замены имени файла недостаточно.
>Кроме того, предлагается реализовать проверку поступающих на обработку изображений на предмет соответствия расширения файла и его идентификатора в заголовке файла (GIF - "47 49 46 38", JPEG - "FF D8" и т.п.).

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Критическая уязвимость в библиотеке ImageMagick, используемо..."  +5 +/
Сообщение от dgdsgfsadfgsdfgsdfg on 04-Май-16, 10:08 
Навеяло kotyata.jpg.exe
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Критическая уязвимость в пакете ImageMagick, используемом на..."  –1 +/
Сообщение от бедный буратино (ok) on 04-Май-16, 10:44 
ну, imagemagick мне бы в любом случае было бы страшно в веб пускать

уж лучше py-PIL / py-Pillow

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +1 +/
Сообщение от Аноним (??) on 04-Май-16, 10:54 
> уж лучше py-PIL / py-Pillow

который обвязка над  ImageMagick? (шутка)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +2 +/
Сообщение от бедный буратино (ok) on 04-Май-16, 11:12 
Нет, он вообще никак не связан с imagemagick.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

20. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +1 +/
Сообщение от playnet0 on 04-Май-16, 13:11 
В pillow я за неделю зарепортил 3 серьезных бага, и еще пару не очень серьезных, которые хз как решать.

> ну, imagemagick мне бы в любом случае было бы страшно в веб
> пускать
> уж лучше py-PIL / py-Pillow

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

22. "Критическая уязвимость в пакете ImageMagick, используемом на..."  –2 +/
Сообщение от бедный буратино (ok) on 04-Май-16, 13:19 
они позволяют выполнить произвольный код на системе?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от playnet0 on 04-Май-16, 13:23 
> они позволяют выполнить произвольный код на системе?

хз, там были ошибки обработки форматов, приводящие в том числе к некорректному изображению на выходе или даже сегфолту, но критичное поправлено уже с пол года как, если не больше.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

34. "Критическая уязвимость в пакете ImageMagick, используемом на..."  –5 +/
Сообщение от Pahanivo (ok) on 04-Май-16, 15:20 
Вы по ходу вообще не одупляете о чем речь и путаете глюки с уязвимостями.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

35. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +4 +/
Сообщение от igelko on 04-Май-16, 16:08 
каждый сегфолт - это потенциальный проезд по памяти с дальнейшим RCE.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

43. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +1 +/
Сообщение от Аноним (??) on 05-Май-16, 01:07 
Это же буратина, он вечно всякую херню к себе тащит.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

8. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +2 +/
Сообщение от Аноним (??) on 04-Май-16, 10:58 
> A file with an extension of .MVG is known as a Image Magick proprietary vector graphics format.

)))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +1 +/
Сообщение от Аноним (??) on 04-Май-16, 10:59 
А GraphicsMagick подвержен?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от Аноним (??) on 04-Май-16, 11:12 
Да, там в delegate.c тот же system(command) используется, только через обёртку.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

36. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от vitalif email(ok) on 04-Май-16, 16:11 
НЕА!

$ gm convert exploit.mvg exploit.png
gm convert: Unrecognized color (url(https://example.com/image.jpg"|ls "-la)).

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +2 +/
Сообщение от anonymous (??) on 04-Май-16, 11:15 
Мда. А ведь совсем недавно такой же баг выловили из ffmpeg
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от Аноним (??) on 04-Май-16, 11:50 
ЕМНИП, выловили тоже мейлрушники.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +5 +/
Сообщение от Буратино on 04-Май-16, 13:13 
Вот такой вот удочкой вестимо удили: grep -rw 'system'
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

13. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от Аноним (??) on 04-Май-16, 11:29 
> для формата MVG можно указать 'url(http://example.com/)';

Странный CVE, это же штатная возможность, как она может быть багом?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +1 +/
Сообщение от Аноним (??) on 04-Май-16, 11:38 
Security Circus
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от Аноним (??) on 04-Май-16, 12:12 
Так вот чем thumbnail-ы в Linux создавать! Я всегда обходил стороной эту программу, потому что в моём первом дистре её криво собрали. А сейчас почитал описание, и оказалось что интересно! А им можно заменить GIMP?

Про новость. Эй, они что, запускают ImageMagick от root?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от Аноним (??) on 04-Май-16, 12:34 
На большинстве установок прав процесса сервера приложений вполне достаточно.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от Аноним (??) on 04-Май-16, 12:44 
У gimp'а и IMM разные назначения. Эта фигня удобна в качестве "швейцарского ножа", для использования из консоли и скриптов. В качестве библиотеки оно несколько жирновато, обычно поддержки такого зоопарка экзотики не требуется.

А /etc/passwd можно прочитать от любого юзера.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от playnet0 on 04-Май-16, 13:21 
> А /etc/passwd можно прочитать от любого юзера.

И что с ним делать? Паролей там нет.
Список пользователей разве что, но эта инфа не вотпрям критична.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

44. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +2 +/
Сообщение от Аноним (??) on 05-Май-16, 01:11 
Там есть точное имя юзера (не надо угадывать), их список (можно подбирать пароль сразу для нескольких) и видно у кого есть валидный шелл. Кроме того, в geckos может быть полезная инфа, имя, фамилия, телефоны, ...

Не так уж и мало.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

45. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от АнОНим on 05-Май-16, 02:47 
Процессы запускаются от имени пользователя nginx или apache.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +1 +/
Сообщение от Аноним (??) on 04-Май-16, 13:21 
а зачем запускать из-под рута? достаточно запустить от имени клиента хостинга, который владеет на нём рядом сайтов.

imagemagick удобен для обработки сразу множества изображений, если запускать его из sh в цикле или выполнить что-то вроде такого:
ls *.jpg | sed -r 's/^(.*)\.jpg$/convert "\1.jpg" -scale 60x60^ -gravity Center -crop 60x60+0+0 "thumb-\1.jpg"/;' | sh
(должно из всех *.jpg в данной директории создать thumb-*.jpg размером 60x60, содержащие центральную часть изображений).

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

48. "Критическая уязвимость в пакете ImageMagick, используемом на..."  –1 +/
Сообщение от Возмущенная общественность on 05-Май-16, 16:21 
>ls *.jpg | sed -r 's/^(.*)\.jpg$/c

a зачем когда есть православный find? ls дуба не даст в директории с мульоном джипежек?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

51. "Критическая уязвимость в пакете ImageMagick, используемом на..."  –1 +/
Сообщение от Аноним (??) on 06-Май-16, 00:12 
>>ls *.jpg | sed -r 's/^(.*)\.jpg$/c
> a зачем когда есть православный find? ls дуба не даст в директории
> с мульоном джипежек?

Даст. 4 гига размер командной строки :)

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

52. "Критическая уязвимость в пакете ImageMagick, используемом на..."  –1 +/
Сообщение от Andrey Mitrofanov on 06-Май-16, 07:06 
>>ls *.jpg | sed -r 's/^(.*)\.jpg$/c
> a зачем когда есть православный find? ls дуба не даст в директории
> с мульоном джипежек?

Преждевременную замечаю я в тебе оптимизацию не к месту, молодой падаван. Светлая сторона find ничто рядом с мулионом жипижок в 1 директории. Не позволяй тобой Злу овладеть. Грустно видеть, г[o]невом затуманен взор твой.  >?<

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

19. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +1 +/
Сообщение от Аноним email(??) on 04-Май-16, 13:05 
> которые запускаются при помощи функции system()

Так делать - признак дичайшего быдл_окода. Как это могли пропустить, код ревью где?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от Аноним (??) on 04-Май-16, 20:31 
Справедливости ради желательно учитывать цели и юзкейзы самого проекта. А то с особо продвинутых "веб разработчиков" станется bash или перл с eval прикрутить и потом удивляться "дырам".
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

26. "Критическая уязвимость в библиотеке ImageMagick, используемо..."  –1 +/
Сообщение от playnet0 on 04-Май-16, 13:26 
а что именно в полиси вписывать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Критическая уязвимость в библиотеке ImageMagick, используемо..."  +1 +/
Сообщение от Аноним (??) on 04-Май-16, 13:50 
> а что именно в полиси вписывать?

С сайта в шапке https://imagetragick.com/

<policymap>
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
</policymap>

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Критическая уязвимость в пакете ImageMagick, используемом на..."  –1 +/
Сообщение от vitalif email(ok) on 04-Май-16, 14:19 
> Кроме того, предлагается реализовать проверку поступающих на обработку изображений на предмет соответствия расширения

Так это... кто вообще по расширению тип файла определяет? Это же кривожопие) libmagic (в php - fileinfo) на что дана?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от scorry (ok) on 04-Май-16, 18:41 
> ... кто вообще по расширению тип файла определяет?

Ты не поверишь...

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

42. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от vitalif (ok) on 04-Май-16, 21:19 
"сержант, вы не поверите в то, что я сейчас вам скажу" - "не поверю" (грань будущего)
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +3 +/
Сообщение от Led (ok) on 04-Май-16, 20:31 
> кто вообще по расширению тип файла определяет?

Ведузоеды.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

32. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +2 +/
Сообщение от vitalif email(ok) on 04-Май-16, 14:20 
нахрена они вообще что-то через system запускают, ё-моё
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от Аноним (??) on 06-Май-16, 09:57 
Нахрена они вообще что-то запускают?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

33. "Критическая уязвимость в пакете ImageMagick, используемом на..."  –1 +/
Сообщение от Нанобот (ok) on 04-Май-16, 14:42 
>обработчиков, которые запускаются при помощи функции system()

ССЗБ

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Критическая уязвимость в пакете ImageMagick,..."  +1 +/
Сообщение от arisu (ok) on 05-Май-16, 14:47 
ох… уберите уже детей из интернетов. и из разработки вообще.

это, если кто не понял, я не про imagemagick, а про дегенератов, которых в детстве не научили использовать вещи по назначению и не тянуть в рот что попало.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Критическая уязвимость в пакете ImageMagick,..."  +/
Сообщение от Аноним (??) on 09-Май-16, 02:49 
> это, если кто не понял, я не про imagemagick, а про дегенератов,
> которых в детстве не научили использовать вещи по назначению и не тянуть в рот что попало.

System() интересная функция. Для грепания. В 90% случаев найдется или бэкдор или эксплойтабельная "фича".

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

49. "Критическая уязвимость в пакете ImageMagick, используемом на..."  +/
Сообщение от абвгдейка (ok) on 05-Май-16, 21:37 
а главное никто не заметил - у мейлрушечного Karim Valiev почта на жимейле <valievkarim@...il.com> :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру