The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в ImageMagic, позволившая получить доступ к чужим..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  +/
Сообщение от opennews (??) on 23-Май-17, 12:27 
Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал (https://scarybeastsecurity.blogspot.ru/2017/05/bleed-continu...) сведения о новой уязвимости (CVE-2017-9098 (https://security-tracker.debian.org/tracker/CVE-2017-9098), кодовое имя "Yahoobleed") в пакете ImageMagick (http://www.imagemagick.org/), который часто используется web-разработчиками для преобразования изображений. Примечательно, что в
GraphicsMagick (http://www.graphicsmagick.org/), форке ImageMagic, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах, проблема осталась неисправленной в ImageMagic.


Проблема присутствует в декодировщике RLE, который использует не инициализированные блоки памяти, что позволяет атакующему получить доступ к информации, оставшейся от других обработчиков в данном процессе. Наиболее интересным моментом стала разработка практического метода атаки на основе данной проблемы. Крис Эванс показал, что уязвимость можно использовать для атаки на сервис Yahoo Mail для получения доступа к вложениям чужих писем через отправку письма со специально оформленной картинкой во вложении.


При организации предпросмотра вложений Yahoo применяет постоянно запущенный обработчик, который использует ImageMagic для обработки изображений, что позволяет через эксплуатацию рассматриваемой уязвимости получить доступ к данным, оставшимся от обработки вложений других пользователей. В частности, Крис отправил себе письмо со специально оформленным 18-байтовым изображением, для предпросмотра которого через web-интерфейс было сформировано JPEG-изображение 1024x1024, состоящее из данных, остающихся в памяти после обработки вложений других пользователей.

Компания Yahoo выплатила исследователю вознаграждение в размере 28 тысяч долларов и приняла решение прекратить использование пакета ImageMagic в своих службах. Проблема устранена (https://github.com/ImageMagick/ImageMagick/commit/1c358ffe00...) в ImageMagick  7.0.5-2 и GraphicsMagick 1.3.24. Обновления в дистрибутивах ещё не выпущены, проследить за их появлением можно на данных страницах: Debian (https://security-tracker.debian.org/tracker/CVE-2017-9098), SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-9098), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-9098), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1453125), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2...), FreeBSD (http://www.vuxml.org/freebsd/).

Следует отметить, что проблема представляет опасность только в длительно работающих процессах, циклично обрабатывающих запросы.


URL: http://openwall.com/lists/oss-security/2017/05/20/1
Новость: http://www.opennet.ru/opennews/art.shtml?num=46584

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  +6 +/
Сообщение от Аноним (??) on 23-Май-17, 12:27 
> Компания Yahoo ... и приняла решение прекратить использование пакета ImageMagic в своих службах.

Как-то радикальненько.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  +/
Сообщение от лютый жабист__ on 23-Май-17, 12:29 
>Как-то радикальненько.

С учётом того, что imagemagic нифига не быстрый, непонятно зачем столько ждали? Гуглы например за каждый байт и такт борятся, форматы улучшенные разрабатывают итд

А яхи что?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  –1 +/
Сообщение от Аноним (??) on 23-Май-17, 12:55 
Яховской почтой всё равно никто не пользуется, а картинки для полутора инвалидов всё равно чем обрабатывать.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  –1 +/
Сообщение от sHAsHiLx (ok) on 23-Май-17, 14:25 
даа?! пожалуйста - sky.com - крупный провайдер в великобритании. использует яху для своего домена sky.com чтоб вебморда была, а может и не только.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

25. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  +/
Сообщение от prgchip on 23-Май-17, 22:40 
A, MX & PTR - это пожалуй все, что они у яхи юзают. Скорее всего у них свои сервера, тем более почтовые.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

26. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  –1 +/
Сообщение от sHAsHiLx (ok) on 24-Май-17, 00:24 
> A, MX & PTR - это пожалуй все, что они у яхи
> юзают. Скорее всего у них свои сервера, тем более почтовые.

я на почту sky.com захожу через яховский вебинтерфейс

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  +3 +/
Сообщение от angra (ok) on 24-Май-17, 01:36 
Не надо ставить равенство между "я не пользуюсь" и "никто не пользуется". Ваши полтора инвалида на самом деле исчисляются миллионами.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  +/
Сообщение от пох on 23-Май-17, 18:11 
там в переводе новости, на самом деле, пропущен очень интересный блок - говорящий о том, что "хорошие сапоги, надо брать" - в смысле, Яху, а не imagic.

1. отреагировали быстро (для монстроидальной корпорации - очень быстро)
2. отреагировали правильно

жаль, осталось неочевидным, на что в результате ушли. модный-хипстерский imageflow?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

19. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  +/
Сообщение от Аноним (??) on 23-Май-17, 18:15 
Когда я пытался этим пользоваться (не почтой, а группами, но оно всё едино), их веб-морда не умела в кодировки. Было дело, правда, лет десять назад, но уже тогда это воспринималось как нонсенс. Надо брать, говорите?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  +1 +/
Сообщение от пох on 23-Май-17, 20:49 
ну раз вы помните "десять лет назад", то вам не нужно объяснять, что лучше бы гугль не умел "в кодировки", чем то, что он сотворил с базой dejanews.
(а мы -то, идиоты, рассчитывали что она проживет дольше, чем личные архивы на таких ненадежных, 20летней-то давности, носителях)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

28. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  +/
Сообщение от angra (ok) on 24-Май-17, 01:45 
> Было дело, правда, лет десять назад, но уже тогда это воспринималось как нонсенс.

Десять лет назад кодировки как раз были актуальной проблемой, сейчас всюду юникод, про существование кодировок постепенно забывают и скоро нонсенсом будет их поддержка, а не ее отсутсвие.


Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

32. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  +/
Сообщение от Омноним on 27-Май-17, 03:29 
Помню тоже лет пять назад решил перевести корпоративную почту на собственном серваке на Zarafa. И только когда всё уже было установлено, настроено и объявлено на всю фирму, что теперь почта - вот тут, выяснилось, что она не умеет кодировки (поддерживалась только CP-1252). Сказать, что я охренел - ничего не сказать. Я реально не мог ни в каком бредовом сне себе представить, что может существовать почтивик (причём не реликтовый, а позиционирующийся как что-то современное), гвоздями прибитый к одной устаревшей кодировке, это на столько не укладывалось в голове, что и заранее проверить такое прийти в голову не могло. Пришлось сносить и откатываться на старое решение т.к. хоть и существовал неофициальный патч для глобальной замены CP-1252 на CP-1251, нам были нужны все три европейские (CP-1250, CP-1251, CP-1252) и UTF-8.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

23. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  –2 +/
Сообщение от trolleybus email on 23-Май-17, 19:42 
Просто слабо обновиться, видимо.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

30. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  –2 +/
Сообщение от Аноним (??) on 24-Май-17, 09:35 
Либо решение принимал непрофессионал, либо давно давно продумывался уход от этого пакета, а уязвимостями воспользовались, чтобы хомячки меньше ныли что им непривычно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

31. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  +1 +/
Сообщение от Admino (ok) on 24-Май-17, 11:49 
Да, хомячкам действительно тяжело пользоваться чем-то, кроме ImageMagick, на столько они привыкли в своём почтовом интерфейсе делать mogrify -path OUTPUT_PATH -filter Triangle -define filter:support=2 -thumbnail OUTPUT_WIDTH -unsharp 0.25x0.08+8.3+0.045 -dither None -posterize 136 -quality 82 -define jpeg:fancy-upsampling=off -define png:compression-filter=5 -define png:compression-level=9 -define png:compression-strategy=1 -define png:exclude-chunk=all -interlace none -colorspace sRGB INPUT_PATH
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

2. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  –1 +/
Сообщение от лютый жабист__ on 23-Май-17, 12:27 
Ребята из Яху слоупоки, ImageFlow уже в середине 2016 можно было взять и сэкономить на серверах (с их объемами огого).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  +2 +/
Сообщение от RazrFalcon (ok) on 23-Май-17, 12:31 
Это тот, который официально technical preview?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  +2 +/
Сообщение от Аноним (??) on 23-Май-17, 13:47 
После всех его последних утечек, уязвимостей и взломов, взламывать яху уже моветон
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Уязвимость в ImageMagic, позволившая получить доступ к чужим..."  –1 +/
Сообщение от Гость (??) on 23-Май-17, 19:21 
> Уязвимость в почте Yahoo, позволившая получить доступ к чужим вложениям

Fixed.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Уязвимость в ImageMagick, позволившая получить доступ к чужи..."  +/
Сообщение от anonim (ok) on 27-Май-17, 13:32 
"Примечательно, что в GraphicsMagick ... уязвимость была устранена ещё в марте 2016 года, ..."
"Проблема устранена в ... GraphicsMagick 1.3.24."
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Уязвимость в ImageMagick, позволившая получить доступ к чужи..."  +/
Сообщение от Аноним (??) on 27-Май-17, 22:02 
И что вас смущает? GraphicsMagick 1.3.24 released May 30, 2016.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Уязвимость в ImageMagick, позволившая получить доступ к чужи..."  +/
Сообщение от anonim (ok) on 30-Май-17, 23:15 
> И что вас смущает? GraphicsMagick 1.3.24 released May 30, 2016.

Для слоупоков что ли? Вот это и смущает.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру