The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

23.05.2017 11:17  Уязвимость в ImageMagick, позволившая получить доступ к чужим вложениям в почте Yahoo

Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал сведения о новой уязвимости (CVE-2017-9098, кодовое имя "Yahoobleed1") в пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений. Примечательно, что в GraphicsMagick, ответвлении от ImageMagick, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах проблема осталась неисправленной в ImageMagick.

Проблема присутствует в декодере RLE, который использует неинициализированные блоки памяти, что позволяет атакующему получить доступ к информации, оставшейся от других обработчиков в данном процессе. Наиболее интересным моментом стала разработка практического метода атаки на основе данной проблемы. Крис Эванс показал, что уязвимость можно использовать для атаки на сервис Yahoo Mail для получения доступа к вложениям чужих писем через отправку письма со специально оформленной картинкой во вложении.

При организации предпросмотра вложений Yahoo применяет постоянно запущенный обработчик, который использует ImageMagick для обработки изображений, что позволяет через эксплуатацию рассматриваемой уязвимости получить доступ к данным, оставшимся от обработки вложений других пользователей. В частности, Крис отправил себе письмо со специально оформленным 18-байтовым изображением, для предпросмотра которого через web-интерфейс было сформировано JPEG-изображение 1024x1024, состоящее из данных, остающихся в памяти после обработки вложений других пользователей.

Проблема устранена в ImageMagick 7.0.5-2 и GraphicsMagick 1.3.24 (вышел 30 мая 2016 года). Обновления в дистрибутивах ещё не выпущены, проследить за их появлением можно на данных страницах: Debian, SUSE/openSUSE, RHEL, Fedora, Ubuntu, FreeBSD. Следует отметить, что проблема представляет опасность только в длительно работающих процессах, циклично обрабатывающих запросы.

Кроме того, Крис Эванс разработал ещё одну технику атаки на Yahoo Mail, назвав её "Yahoobleed2". Атака основана на уязвимости, исправленной ещё в январе 2015 года, но оставшейся неустранённой в варианте пакета ImageMagick, применяемом в Yahoo. Атака также выполняется через предпросмотр специально оформленного вложения и позволяет получить содержимое браузерных cookies, токенов аутентификации и частей изображений других пользователей Yahoo Mail. Компания Yahoo выплатила исследователю вознаграждение в размере 28 тысяч долларов (две премии по 14 тысяч) и приняла решение прекратить использование пакета ImageMagick в своих службах.

  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
  2. OpenNews: В рамках проекта ImageFlow началось развитие высокопроизводительной альтернативы ImageMagick
  3. OpenNews: Новая критическая уязвимость в GraphicsMagick и ImageMagick
  4. OpenNews: Разработчики GraphicsMagick проанализировали подверженность уязвимостям ImageMagick
  5. OpenNews: Критическая уязвимость в пакете ImageMagick, используемом на многих сайтах
  6. OpenNews: Угроза безопасности из-за автоматической обработки мультимедийных файлов
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: imagemagick, yahoo
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 12:27, 23/05/2017 [ответить] [смотреть все]    [к модератору]
  • +6 +/
    > Компания Yahoo ... и приняла решение прекратить использование пакета ImageMagic в своих службах.

    Как-то радикальненько.

     
     
  • 2.3, лютый жабист__, 12:29, 23/05/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +/
    С учётом того, что imagemagic нифига не быстрый, непонятно зачем столько ждали ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, Аноним, 12:55, 23/05/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Яховской почтой всё равно никто не пользуется, а картинки для полутора инвалидов... весь текст скрыт [показать]
     
     
  • 4.13, sHAsHiLx, 14:25, 23/05/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    даа пожалуйста - sky com - крупный провайдер в великобритании использует яху ... весь текст скрыт [показать]
     
     
  • 5.25, prgchip, 22:40, 23/05/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    A, MX PTR - это пожалуй все, что они у яхи юзают Скорее всего у них свои серв... весь текст скрыт [показать]
     
     
  • 6.26, sHAsHiLx, 00:24, 24/05/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    я на почту sky com захожу через яховский вебинтерфейс... весь текст скрыт [показать]
     
  • 4.27, angra, 01:36, 24/05/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Не надо ставить равенство между я не пользуюсь и никто не пользуется Ваши п... весь текст скрыт [показать]
     
  • 2.18, пох, 18:11, 23/05/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    там в переводе новости, на самом деле, пропущен очень интересный блок - говорящи... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Аноним, 18:15, 23/05/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Когда я пытался этим пользоваться не почтой, а группами, но оно всё едино , их ... весь текст скрыт [показать]
     
     
  • 4.24, пох, 20:49, 23/05/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    ну раз вы помните десять лет назад , то вам не нужно объяснять, что лучше бы гу... весь текст скрыт [показать]
     
  • 4.28, angra, 01:45, 24/05/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Десять лет назад кодировки как раз были актуальной проблемой, сейчас всюду юнико... весь текст скрыт [показать]
     
  • 4.32, Омноним, 03:29, 27/05/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Помню тоже лет пять назад решил перевести корпоративную почту на собственном сер... весь текст скрыт [показать]
     
  • 2.23, trolleybus, 19:42, 23/05/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –2 +/
    Просто слабо обновиться, видимо.
     
  • 2.30, Аноним, 09:35, 24/05/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    Либо решение принимал непрофессионал, либо давно давно продумывался уход от этог... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, Admino, 11:49, 24/05/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Да, хомячкам действительно тяжело пользоваться чем-то, кроме ImageMagick, на сто... весь текст скрыт [показать]
     
  • 1.2, лютый жабист__, 12:27, 23/05/2017 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ребята из Яху слоупоки, ImageFlow уже в середине 2016 можно было взять и сэкономить на серверах (с их объемами огого).
     
     
  • 2.4, RazrFalcon, 12:31, 23/05/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    Это тот, который официально technical preview?
     
  • 1.9, Аноним, 13:47, 23/05/2017 [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    После всех его последних утечек, уязвимостей и взломов, взламывать яху уже мовет... весь текст скрыт [показать]
     
  • 1.22, Гость, 19:21, 23/05/2017 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    > Уязвимость в почте Yahoo, позволившая получить доступ к чужим вложениям

    Fixed.

     
  • 1.33, anonim, 13:32, 27/05/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    "Примечательно, что в GraphicsMagick ... уязвимость была устранена ещё в марте 2016 года, ..."
    "Проблема устранена в ... GraphicsMagick 1.3.24."
     
     
  • 2.34, Аноним, 22:02, 27/05/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    И что вас смущает? GraphicsMagick 1.3.24 released May 30, 2016.
     
     
  • 3.35, anonim, 23:15, 30/05/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Для слоупоков что ли Вот это и смущает ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor