forum.opennet.ru

"Критическая уязвимость в библиотеке ImageMagick, используемо..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Ссылки "<<" и ">>" открывают первые и последние 10 сообщений.

. "Критическая уязвимость в библиотеке ImageMagick, используемо..."	+1 +/–
Сообщение от Аноним (-), 04-Май-16, 13:50
> а что именно в полиси вписывать? С сайта в шапке https://imagetragick.com/ <policymap> <policy domain="coder" rights="none" pattern="EPHEMERAL" /> <policy domain="coder" rights="none" pattern="URL" /> <policy domain="coder" rights="none" pattern="HTTPS" /> <policy domain="coder" rights="none" pattern="MVG" /> <policy domain="coder" rights="none" pattern="MSL" /> </policymap>
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая уязвимость в библиотеке ImageMagick, используемо..., opennews, 04-Май-16, 10:08 [смотреть все]

стоп т е если файл был получен от пользователя в request и его сохранили локал, анон, 04-Май-16, 10:08 (1) //
- охохох если все так и обстоит с svg и ко, то это просто дыра космического масшт, анон, 04-Май-16, 10:41 (3) //
  - Речь только о формате MVG, содержимое которого является набором команд Imagema, Ухаха, 05-Май-16, 10:05 (46) //
    - Можно назвать это photo jpg, далее image magic при попытке сконвертировать казал, Аноним, 09-Май-16, 02:41 (54)
- Нет, замены имени файла недостаточно , Аноним, 04-Май-16, 13:47 (28)
Навеяло kotyata jpg exe, dgdsgfsadfgsdfgsdfg, 04-Май-16, 10:08 (2)
ну, imagemagick мне бы в любом случае было бы страшно в веб пускатьуж лучше py-P, бедный буратино, 04-Май-16, 10:44 (5) //
- который обвязка над ImageMagick шутка , Аноним, 04-Май-16, 10:54 (6) //
  - Нет, он вообще никак не связан с imagemagick , бедный буратино, 04-Май-16, 11:12 (10)
- В pillow я за неделю зарепортил 3 серьезных бага, и еще пару не очень серьезных,, playnet0, 04-Май-16, 13:11 (20) //
  - они позволяют выполнить произвольный код на системе , бедный буратино, 04-Май-16, 13:19 (22) //
    - хз, там были ошибки обработки форматов, приводящие в том числе к некорректному и, playnet0, 04-Май-16, 13:23 (25)
      - Вы по ходу вообще не одупляете о чем речь и путаете глюки с уязвимостями , Pahanivo, 04-Май-16, 15:20 (34)
        
        каждый сегфолт - это потенциальный проезд по памяти с дальнейшим RCE , igelko, 04-Май-16, 16:08 (35)
  - Это же буратина, он вечно всякую херню к себе тащит , Аноним, 05-Май-16, 01:07 (43)
, Аноним, 04-Май-16, 10:58 (8)
А GraphicsMagick подвержен , Аноним, 04-Май-16, 10:59 (9) //
- Да, там в delegate c тот же system command используется, только через обёртку , Аноним, 04-Май-16, 11:12 (11)
- НЕА gm convert exploit mvg exploit png gm convert Unrecognized color url htt, vitalif, 04-Май-16, 16:11 (36)
Мда А ведь совсем недавно такой же баг выловили из ffmpeg, anonymous, 04-Май-16, 11:15 (12) //
- ЕМНИП, выловили тоже мейлрушники , Аноним, 04-Май-16, 11:50 (15) //
  - Вот такой вот удочкой вестимо удили grep -rw system , Буратино, 04-Май-16, 13:13 (21)
Странный CVE, это же штатная возможность, как она может быть багом , Аноним, 04-Май-16, 11:29 (13)
Security Circus, Аноним, 04-Май-16, 11:38 (14)
Так вот чем thumbnail-ы в Linux создавать Я всегда обходил стороной эту програм, Аноним, 04-Май-16, 12:12 (16) //
- На большинстве установок прав процесса сервера приложений вполне достаточно , Аноним, 04-Май-16, 12:34 (17)
- У gimp а и IMM разные назначения Эта фигня удобна в качестве швейцарского ножа, Аноним, 04-Май-16, 12:44 (18) //
  - И что с ним делать Паролей там нет Список пользователей разве что, но эта инфа , playnet0, 04-Май-16, 13:21 (23) //
    - Там есть точное имя юзера не надо угадывать , их список можно подбирать пароль, Аноним, 05-Май-16, 01:11 (44)
  - Процессы запускаются от имени пользователя nginx или apache , АнОНим, 05-Май-16, 02:47 (45)
- а зачем запускать из-под рута достаточно запустить от имени клиента хостинга, к, Аноним, 04-Май-16, 13:21 (24) //
  - a зачем когда есть православный find ls дуба не даст в директории с мульоном дж, Возмущенная общественность, 05-Май-16, 16:21 (48) //
    - Даст 4 гига размер командной строки , Аноним, 06-Май-16, 00:12 (51)
    - Преждевременную замечаю я в тебе оптимизацию не к месту, молодой падаван Светла, Andrey Mitrofanov, 06-Май-16, 07:06 (52)
Так делать - признак дичайшего быдл_окода Как это могли пропустить, код ревью г, Аноним, 04-Май-16, 13:05 (19) //
- Справедливости ради желательно учитывать цели и юзкейзы самого проекта А то с о, Аноним, 04-Май-16, 20:31 (40)
а что именно в полиси вписывать , playnet0, 04-Май-16, 13:26 (26) //
- С сайта в шапке https imagetragick com code policymap policy domain code , Аноним, 04-Май-16, 13:50 (29)
Так это кто вообще по расширению тип файла определяет Это же кривожопие lib, vitalif, 04-Май-16, 14:19 (31) //
- Ты не поверишь , scorry, 04-Май-16, 18:41 (39) //
  - сержант, вы не поверите в то, что я сейчас вам скажу - не поверю грань буду, vitalif, 04-Май-16, 21:19 (42)
- Ведузоеды , Led, 04-Май-16, 20:31 (41)
нахрена они вообще что-то через system запускают, ё-моё, vitalif, 04-Май-16, 14:20 (32) //
- Нахрена они вообще что-то запускают , Аноним, 06-Май-16, 09:57 (53)
ССЗБ, Нанобот, 04-Май-16, 14:42 (33)
ох 8230 уберите уже детей из интернетов и из разработки вообще это, если кто , arisu, 05-Май-16, 14:47 (47) //
- System интересная функция Для грепания В 90 случаев найдется или бэкдор или, Аноним, 09-Май-16, 02:49 (56)
а главное никто не заметил - у мейлрушечного Karim Valiev почта на жимейле vali, абвгдейка, 05-Май-16, 21:37 (49)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру