0-day уязвимост в ImageMagick съществува в много уеб-сайтове

0
46

В пакета ImageMagick, който често се използва от уеб-програмистите за преобразуване на изображения, бе разкрита опасната уязвимост тип „нулев ден“ CVE-2016-3714, която самите експерти нарекоха ImageTragick. Пакетът ImageMagick е включен в много програмни библиотеки за работа с изображения, които се използват в уеб-сайтовете и дава възможност за изпълнение на програмен код при обработката на специално подготвени изображения. Уязвими са и библиотеките PHP imagick, Ruby rmagick, Ruby paperclip и Node.js imagemagick.

 

Опасността е много голяма, понеже използването на тази уязвимост е твърде лесно – достатъчно е в уеб-сайта да могат да се качват изображения. Единственото необходимо условие е потребителят да има право да качва своите изображения на сървъра. Това се използва от милиони сайтове, които например дават възможност на потребителите да качат своя аватар.

Уязвимостта се дължи на ненадеждната проверка на имената на файловете и на първите няколко байта, които идентифицират файловите формати – „47 49 46 38“ в началото означава GIF, „FF D8“ – JPEG и т.н. По този начин става възможно да се осъществи атака чрез SVG и MVG файлове, които имат поставено разширение jpg, а ImageMagick ги пропуска на първия етап от проверката и след това ги обработва като SVG.

Подготвен е съответния пач, който съвсем скоро ще бъде предложен за инсталиране.

ДОБАВИ КОМЕНТАР

Коментирай това преди всички други

Извести ме за
avatar
wpDiscuz