The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

09.05.2016 11:20  Разработчики GraphicsMagick проанализировали подверженность уязвимостям ImageMagick

Разработчики проекта GraphicsMagick, ответвившегося от ImageMagick в 2002 году, опубликовали результаты анализа критических уязвимостей, недавно выявленных в ImageMagick. Отмечается, что несмотря на дополнительные проверки аргументов, GraphicsMagick оказался уязвим при применении немного изменённого вектора атаки.

Атака по организации выполнения произвольных shell-команд может быть организована в GraphicsMagick через файлы в формате "gplt", которые обрабатываются через запуск gnuplot, вызываемый при помощи функции system() с группировкой аргументов в одной строке. Для блокирования атаки достаточно удалить запись "gplt" в файле delegates.mgk.

GraphicsMagick также подвержен проблемам с обработкой MVG на основании заголовков (MVG будет обработан даже если файл поставляется в .jpg или с любым другим расширением). Отмечается и подверженность уязвимостям CVE-2016-3718 (инициирования внешних запросов HTTP GET или FTP) и CVE-2016-3715 (удаление файлов при обработке специально оформленных изображений).

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Критическая уязвимость в пакете ImageMagick, используемом на многих сайтах
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: graphicsmagick, imagemagick
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, h31, 12:06, 09/05/2016 [ответить] [смотреть все]
  • –3 +/
    Народ, а кто вообще пользуется GraphicsMagick Зачем он нужен, если есть ImageMa... весь текст скрыт [показать]
     
     
  • 2.2, Аноним, 12:17, 09/05/2016 [^] [ответить] [смотреть все]  
  • +10 +/
    Он быстрее от 2 до 4 раз, меньше жрёт памяти, все утилиты через единый 'gm <cmd>'.
    При этом по API почти совместим с оригиналом. Разница примерно такая же, как между mysql и mariadb.

    Если вдруг авторам I/M моча в голову ударит - юзеры хмыкнут и переключатся на G/M почти бесшовно.

     
     
  • 3.4, ano, 16:27, 09/05/2016 [^] [ответить] [смотреть все]  
  • +/
    откуда инфа про 2-4 раза и память?
     
     
  • 4.13, Аноним, 00:59, 10/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Личный опыт. Плотно юзал и частично переделывал debian'овскую findimagedupes.
     
  • 2.5, prokoudine, 16:57, 09/05/2016 [^] [ответить] [смотреть все]  
  • +/
    > Народ, а кто вообще пользуется GraphicsMagick?

    Все, кто пользуется Scribus, например.

     
  • 2.9, Ник, 19:01, 09/05/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    GM умеет параллелиться по ядрам. Но мы откатились на IM из-за чуть лучшего качества изображения после ресайза и пары каких-то функций, которые на GM не удалось запустить вообще.
     
     
  • 3.10, pauc, 22:51, 09/05/2016 [^] [ответить] [смотреть все]  
  • +/
    IM вполне себе по ядрам раскладывается. Только криво синхронизируется. Но на одной задаче выигрыш заметен. Env MAGICK_THREAD_LIMIT.
     
  • 1.3, Аноним, 14:31, 09/05/2016 [ответить] [смотреть все]  
  • +/
    Вот бы ещё Mesa форкнули без впиливания туда LLVM.
     
     
  • 2.7, Аноним, 17:28, 09/05/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Напишешь кодогенератор для gcn Если у тебя что-то другое, можешь сам собрать бе... весь текст скрыт [показать]
     
  • 2.14, Аноним, 12:47, 10/05/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    И ради чего Первый раз вижу человека недовольного ллвм в месе Это какая-то бор... весь текст скрыт [показать]
     
     
  • 3.16, Led, 15:59, 10/05/2016 [^] [ответить] [смотреть все]  
  • +/
    > И ради чего? Первый раз вижу человека недовольного ллвм в месе. Это
    > какая-то борьба с ветряными мельницами?

    ллвм - это ветряные мельницы?

     
  • 1.6, омномнимус, 17:17, 09/05/2016 [ответить] [смотреть все]  
  • +/
    >вызываемый при помощи функции system()

    а кто-то еще пхпешников называет говнокодерами, лол.

     
     
  • 2.12, Аноним, 00:36, 10/05/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Так не врут - https www opennet ru opennews art shtml num 44390 ... весь текст скрыт [показать]
     
     
  • 3.15, омномномнимус, 15:47, 10/05/2016 [^] [ответить] [смотреть все]  
  • +/
    так я же и не отрицаю наличия таких среди пхпшников. Просто одновременно с наездом на них обычно еще и подразумевают, что в pure-c, python etc проблем с кодерами нет и они все выдают сразу же безбажный и неломаемый код :-)
     
  • 1.8, Аноним, 18:15, 09/05/2016 [ответить] [смотреть все]  
  • –1 +/
    Когда ImageMagick починит нормальную работу в OpenCL Пытается вылести из песочн... весь текст скрыт [показать]
     
  • 1.11, Омский линуксоид, 23:50, 09/05/2016 [ответить] [смотреть все]  
  • –3 +/
    Омские линуксоиды ждут анализа GraphicsMagick от разработчиков ImageMagick...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList