forum.opennet.ru

Составление сообщения

Исходное сообщение

"Новая критическая уязвимость в GraphicsMagick и ImageMagick"
Отправлено opennews, 30-Май-16 10:39

В пакетах ImageMagick (http://www.imagemagick.org/) и GraphicsMagick (http://www.graphicsmagick.org/) выявлена ещё одна опасная уязвимость (http://seclists.org/oss-sec/2016/q2/432) (CVE-2016-5118), позволяющая выполнить произвольные команды shell при обработке специально оформленного имени файла. Проблема связана с передачей в вызов popen имени файла, без его проверки на наличие спецсимволов, что позволяет использовать модификатор "|", отвечающий за ответвление процесса для создания канала ввода-вода. Передав вместо имени файла аргумент "|имя" можно выполнить произвольный код, например:


 convert '|echo Hello > hello.txt;' null:

Кроме эксплуатации приложений, для преобразования форматов изображений вызывающих утилиту convert, атака может быть проведена при обработке специально оформленных SVG- или MVG-файлов, в которых вместо ссылки на изображение может применяться конструкция:

SVG:
 xlink:href="|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png"
MVG:
 push graphic-context
 viewbox 0 0 640 480
 image copy 200,200 100,100 "|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png"
 pop graphic-context

Проблема присутствует в функции OpenBlob() из состава blob.c. Не исключено, что кроме утилиты convert и обработчиков SVG/MVG, уязвимость может проявляться и в других областях применения GraphicsMagick и ImageMagick. В качестве решения проблемы рекомендуется отключить использование функции popen, убрав флаг HAVE_POPEN в файле magick/blob.c ("#undef HAVE_POPEN"). На момент написания новости исправление доступно лишь в виде патча (http://seclists.org/oss-sec/2016/q2/att-432/disable-popen-fi...). Обновления пакетов для дистрибутивов еще не сформированы: Debian (https://security-tracker.debian.org/tracker/CVE-2016-5118), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2...), RHEL/CentOS (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-5118), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-5118), openSUSE (https://lists.opensuse.org/opensuse-security-announce/2016-05/), FreeBSD (http://www.vuxml.org/freebsd/), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F23&type=s...).
URL: http://seclists.org/oss-sec/2016/q2/432
Новость: http://www.opennet.ru/opennews/art.shtml?num=44511

Исходное сообщение
"Новая критическая уязвимость в GraphicsMagick и ImageMagick" Отправлено opennews, 30-Май-16 10:39
В пакетах ImageMagick (http://www.imagemagick.org/) и GraphicsMagick (http://www.graphicsmagick.org/) выявлена ещё одна опасная уязвимость (http://seclists.org/oss-sec/2016/q2/432) (CVE-2016-5118), позволяющая выполнить произвольные команды shell при обработке специально оформленного имени файла. Проблема связана с передачей в вызов popen имени файла, без его проверки на наличие спецсимволов, что позволяет использовать модификатор "\|", отвечающий за ответвление процесса для создания канала ввода-вода. Передав вместо имени файла аргумент "\|имя" можно выполнить произвольный код, например: <font color="#461b7e"> convert '\|echo Hello > hello.txt;' null: </font> Кроме эксплуатации приложений, для преобразования форматов изображений вызывающих утилиту convert, атака может быть проведена при обработке специально оформленных SVG- или MVG-файлов, в которых вместо ссылки на изображение может применяться конструкция: <font color="#461b7e"> SVG: xlink:href="\|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png" MVG: push graphic-context viewbox 0 0 640 480 image copy 200,200 100,100 "\|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png" pop graphic-context </font> Проблема присутствует в функции OpenBlob() из состава blob.c. Не исключено, что кроме утилиты convert и обработчиков SVG/MVG, уязвимость может проявляться и в других областях применения GraphicsMagick и ImageMagick. В качестве решения проблемы рекомендуется отключить использование функции popen, убрав флаг HAVE_POPEN в файле magick/blob.c ("#undef HAVE_POPEN"). На момент написания новости исправление доступно лишь в виде патча (http://seclists.org/oss-sec/2016/q2/att-432/disable-popen-fi...). Обновления пакетов для дистрибутивов еще не сформированы: Debian (https://security-tracker.debian.org/tracker/CVE-2016-5118), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2...), RHEL/CentOS (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-5118), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-5118), openSUSE (https://lists.opensuse.org/opensuse-security-announce/2016-05/), FreeBSD (http://www.vuxml.org/freebsd/), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F23&type=s...). URL: http://seclists.org/oss-sec/2016/q2/432 Новость: http://www.opennet.ru/opennews/art.shtml?num=44511

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В пакетах ImageMagick (http://www.imagemagick.org/) и GraphicsMagick (http://www.graphicsmagick.org/) 
> выявлена ещё одна опасная уязвимость (http://seclists.org/oss-sec/2016/q2/432) (CVE-2016-5118), 
> позволяющая выполнить произвольные команды shell при обработке специально оформленного 
> имени файла. Проблема связана с передачей в вызов popen имени файла, 
> без его проверки на наличие спецсимволов, что позволяет использовать модификатор "|", 
> отвечающий за  ответвление процесса для создания канала ввода-вода. Передав вместо 
> имени файла аргумент "|имя" можно выполнить произвольный код, например:

> 
> convert '|echo Hello > hello.txt;' null: 
>

> Кроме эксплуатации приложений,  для преобразования форматов изображений вызывающих утилиту 
> convert, атака может быть проведена при обработке специально оформленных SVG- или 
> MVG-файлов, в которых вместо ссылки на изображение может применяться конструкция:

>

> SVG:

>    xlink:href="|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png"

> MVG:

>   push graphic-context 
>   viewbox 0 0 640 480 
>   image copy 200,200 100,100 "|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png" 
 
>   pop graphic-context

>

> Проблема присутствует в функции OpenBlob() из состава blob.c. Не исключено, что кроме 
> утилиты convert и обработчиков SVG/MVG, уязвимость может проявляться и в других 
> областях применения GraphicsMagick и ImageMagick. В качестве решения проблемы рекомендуется 
> отключить использование функции popen, убрав флаг HAVE_POPEN в файле magick/blob.c ("#undef 
> HAVE_POPEN"). На момент написания новости исправление доступно лишь в виде патча 
> (http://seclists.org/oss-sec/2016/q2/att-432/disable-popen-filename.patch). Обновления 
> пакетов для дистрибутивов еще не сформированы: Debian (https://security-tracker.debian.org/tracker/CVE-2016-5118), 
> Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5118.html), 
> RHEL/CentOS (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-5118), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-5118), 
> openSUSE (https://lists.opensuse.org/opensuse-security-announce/2016-05/), FreeBSD 
> (http://www.vuxml.org/freebsd/), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F23&type=security).

> URL: http://seclists.org/oss-sec/2016/q2/432 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=44511

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру