Индекс форумов |
Исходное сообщение |
---|
"Новая критическая уязвимость в GraphicsMagick и ImageMagick" Отправлено opennews, 30-Май-16 10:39 |
В пакетах ImageMagick (http://www.imagemagick.org/) и GraphicsMagick (http://www.graphicsmagick.org/) выявлена ещё одна опасная уязвимость (http://seclists.org/oss-sec/2016/q2/432) (CVE-2016-5118), позволяющая выполнить произвольные команды shell при обработке специально оформленного имени файла. Проблема связана с передачей в вызов popen имени файла, без его проверки на наличие спецсимволов, что позволяет использовать модификатор "|", отвечающий за ответвление процесса для создания канала ввода-вода. Передав вместо имени файла аргумент "|имя" можно выполнить произвольный код, например: |
При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования. |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |