| 1.1, полуфрактал (?), 14:07, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
2. OpenNews: Уязвимость в Ghostscript, эксплуатируемая через ImageMagick
3. OpenNews: Уязвимость в ImageMagick, позволившая получить доступ к чужим вложениям в почте Yahoo
4. OpenNews: В рамках проекта ImageFlow началось развитие высокопроизводительной альтернативы ImageMagick
5. OpenNews: Новая критическая уязвимость в GraphicsMagick и ImageMagick
6. OpenNews: Критическая уязвимость в пакете ImageMagick, используемом на многих сайтах
у него есть новости кроме уязвимостей?
| | |
| |
| |
| 3.65, Аноним (65), 21:13, 06/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Так это вы новость писали,- "в случае преобразования при помощи ImageMagick подготовленных атакующим PNG-изображений" о_0
| | |
|
|
| 1.3, rshadow (ok), 14:14, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Это все уязвимо было всегда и будет всегда. Надо запускать в песочнице и будет счастье.
| | |
| |
| 2.32, Анонимусс (?), 16:37, 06/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
А вдруг в песочнице тоже дырень!
Нужно просто писать без багов, а с багами писать не нужно, дело-то...
| | |
| |
| 3.71, Пенис (?), 22:30, 06/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Ну рано или поздно тот или иной софт закроет 99,9% потребностей пользователей, так что да, можно исправить.
| | |
|
|
| 1.4, Аноним (4), 14:15, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– | |
> Таким образом, для атаки достаточно добавить к PNG-изображению параметр "profile" с необходимым файловым путём (например, "/etc/passwd")…
Доверие внешним данным. Классика.
| | |
| |
| |
| |
| |
| 5.108, Аноним (108), 12:39, 07/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Зачем ему самому-то утруждаться? Он просто может "вежливо попросить" других оставить.
| | |
|
| 4.87, Аноним (-), 08:30, 07/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Да и майнеры коинов и продавцы персональных данных так то никого не обидят. Особенно - себя.
| | |
|
|
| 2.9, rshadow (ok), 14:24, 06/02/2023 [^] [^^] [^^^] [ответить]
| +9 +/– |
Классика еще и в том что либу пишут те, кому интересна обработка картинок. А о вебе и прочих страшных вещах вполне могут не подумать (не иметь ни опыта, ни желания).
| | |
| |
| 3.19, Аноним (56), 15:18, 06/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
И о том, что либа в вебе используется вовсю, авторам никто не сказал.
| | |
| |
| 4.50, Аноним (50), 17:55, 06/02/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
а это их проблема? Если их библиотеку выбрали для использования вовсю, то она устраивала по всем параметрам
| | |
| |
| |
| 6.58, Аноним (50), 19:18, 06/02/2023 [^] [^^] [^^^] [ответить]
| +6 +/– |
и в чем же она?
Напомню, что после прочтения лицензии "опенсурса" у тебя была возможность отказаться от его использования и избежать последствий "сути"
| | |
| |
| 7.72, пох. (?), 22:35, 06/02/2023 [^] [^^] [^^^] [ответить]
| –7 +/– | |
> и в чем же она?
ну очевидно же - сделать г-но на от...сь, загадить поляну так чтоб ничего больше не выросло, сидеть, ждать донейтов. Дыры объявлять фичами и "исправлять" идиотскими полиси-файлами. (обработку pdf они особенно хорошо "исправили")
> у тебя была возможность отказаться от его использования и избежать последствий "сути"
это чем-то отменяет факт что опинсурсь по прежнему - в основном дырявое кривое и гнилое г-но?
| | |
| |
| 8.79, Аноним (50), 02:11, 07/02/2023 [^] [^^] [^^^] [ответить] | +/– | Мне кажется, ты путаешь суть людей с сутью опенсорса Описанное тобой вполне мож... текст свёрнут, показать | | |
| 8.88, Аноним (88), 09:01, 07/02/2023 [^] [^^] [^^^] [ответить] | +/– | ImageMagick разоряет конкурентов Заказывает лживые статьи в СМИ Какая подлость... текст свёрнут, показать | | |
|
| 7.106, Аноним (56), 11:41, 07/02/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
Суть в том, что ВАМНИКТОНИДОЛЖЕН. А в итоге мы имеем каличный Gimp, «готовый для десктопа» линукс, ну вот и сабж тоже.
| | |
|
| 6.64, AKTEON (?), 20:56, 06/02/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Это вместо того, чтобы заключить с авторами контракт на доработку библиотеки в нужном вам направлении - вы сидите и ждете халявы ?? Сидите и ждите. Ну или сами исправляйте.
| | |
| |
| 7.73, пох. (?), 22:51, 06/02/2023 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Ага, щас... с г-ноделами все мечтают заключить контракт на доработки.
> Ну или сами исправляйте.
ну вот ты много сам исправил?
А, ты ж не умеешь кодить, действительно...
| | |
| |
| 8.90, Аноним (88), 09:04, 07/02/2023 [^] [^^] [^^^] [ответить] | +/– | Напиши лучше, покажи свои скилы Или ты как очередной эксперт, способен писать т... текст свёрнут, показать | | |
|
|
|
|
|
| 3.20, Аноним (15), 15:36, 06/02/2023 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> А о вебе и прочих страшных вещах вполне могут не подумать
А что если тем, кто занимается вебом, написать необходимый функционал, прислать коммиты и обьяснить владельцам проекта почему это нужно добавить в основную ветку?
| | |
|
|
| 1.8, Аноним (8), 14:21, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Помню времена, PSP-3000 взламывали PNGшками. А ведь прошло с десяток лет :)
| | |
| 1.13, анон (?), 14:28, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
А почему эту уязвимость заметил васян с завода, а не многомиллиардные компании апле и адобе, которые постоянно внедряют опенсурс в свои платные проекты? Хмммм.
| | |
| |
| 2.29, Аноним (29), 16:12, 06/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Им надо многомиллиарды считать, а не отвлекаться на какие-то уязвимости.
| | |
| |
| 3.59, анон (?), 19:29, 06/02/2023 [^] [^^] [^^^] [ответить]
| +4 +/– |
сd ${ABЫRVALG}/AdobeFotojop.app/Contents/MacOS
./convert | grep ImageMagick
Там еще в бинарях адобовских плагины гимпа и бленера вшиты даже не обфусцированные, но мне лень вспоминать.
| | |
|
| 2.57, Аноним (88), 19:09, 06/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Потому они это не используют. Это используют в основном php сайты, у которых выполнение произвольного кода при распаковке архива реализовано на уровне языка
| | |
|
| 1.14, YetAnotherOnanym (ok), 14:54, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 > содержимое параметра "profile" из блока метаданных для определения имени файла с профилем, который включается в результирующий файл
Что авторы формата PNG, что авторы ImageMagic - друг друга стОят.
| | |
| |
| 2.37, Аноним (37), 17:17, 06/02/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Авторы PNG здесь обсолютно не при чем: в блоке матаданных может быть любой произвольный текст.
| | |
|
| 1.21, corvuscor (ok), 15:46, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 >но разработчики ImageMagick рекомендовали
Зря они не порекомендовали не использовать ImageMagick.
Там и так в политиках куча всего отключено. Конечно, безмерно уважаю разработчиков столь полезной открытой утилиты, но это просто срам какой-то...
| | |
| |
| 2.33, Аноним (33), 16:38, 06/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
 Не надо в веб бекенде использовать такое. Для таких макак и разрабатывают ASP.NET Core + ImageSharp и подобное (где если и упадёт, то не так страшно).
| | |
| 2.70, Омномним (?), 22:24, 06/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Ну допустим у меня есть имахемагик в проектах, но я либо чужие файлы не загружаю, либо результаты назад никому не отдаю :D Почему бы мне его не использовать?
| | |
| |
| 3.76, пох. (?), 22:55, 06/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
оригинальные у тебя прожекты, конечно.
Но вообще-то в большинстве случаев пакетная обработка файлов требуется совсем не для того чтобы что-то обработать и выкинуть. Скорее чтоб выкинуть оригинал.
| | |
| |
| 4.96, Омномним (?), 09:36, 07/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Ну а чего оригинальные.
Взять пачку картинок, трансформировать, выдать уже совершенно отличный от исходных картинок результат, сгенерированный с 0.
Взять пришедший PNG, сбросить в TIF, отправить через Asterisk факсом :)
| | |
| |
| 5.101, пох. (?), 10:36, 07/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Ну а чего оригинальные.
> Взять пачку картинок, трансформировать, выдать уже совершенно отличный от исходных картинок
> результат, сгенерированный с 0.
прилепить к нему профиль, из оригинала, который э... оказывается не профиль.
Потому что во-первых это поведение автомагическое, во-вторых в общем и целом нужны какие-то основания его проигнорировать.
| | |
| |
| 6.114, Омномним (?), 22:13, 07/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Не, там собственный ICC, потому что смешение может идти из источников с разными ICC.
| | |
|
|
|
|
|
| 1.22, Аноним (22), 15:49, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
файл coders/jpeg.c, функция JPEGSetImageQuality, константные массивы hash и sums не объявлены как статические -- это всё, что нужно знать о програмиздах ImageMagick
| | |
| |
| |
| |
| 4.110, Аноним (110), 14:13, 07/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
#include <stdio.h>
int main() {
printf("Hello, World!");
return 0;
}
| | |
|
|
|
| 1.26, Аноним (26), 15:55, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
В каком место это уязвимость то? Это особенность работы с хз чем. И вообще это возможно описано в документации и просто кто-то неправильно формирует PNG-файлы.
| | |
| |
| 2.35, Аноним (35), 17:02, 06/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Действительно с какой это стати возможность получить любой файл сервера подсунув на сайте "неправильно сгенерированую" картинку считают уязвимостью...
| | |
| |
| 3.40, 1 (??), 17:28, 06/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Почему "любой" ? В чруте ты получишь то, что в чруте.
| | |
| 3.44, Аноним (26), 17:39, 06/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Действительно с какой это стати возможность получить любой файл
С такой же, как и "особенность работы с памятью", "это было описано в документации, просто кто-то неправильно юзает hyper" и т.п стати
| | |
| 3.61, fuggy (ok), 20:12, 06/02/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
 А кто обещал что это на сайте должно работать. Я может локально хочу обрабатывать картинку именно таким образом считывая локальный файл.
| | |
|
| 2.67, Аноним (67), 21:51, 06/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вот-вот сами права доступа задавать не умеют, а потом бочку на ImageMagick катят.
| | |
|
| 1.43, хрю (?), 17:36, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Прыкольно, особенно то что ImageMagic зачастую содержится в больших программных продуктах (в той же alfresco да и в куче других) и зачастую ни пользователи ни админ об этом не в курсах :-)). В неё уже только добра понаходили, что flash уже по-моему обойдён.
| | |
| 1.60, Аноним (60), 20:09, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ничего не нашёл на тему профилей в PNG metadata кроме ICC Profile name. И похоже что это не оно.
Так вот вопрос, зачем автор добавил включение произвольных файлов при помощи дырки под названием profile.
| | |
| |
| 2.66, Аноним (67), 21:50, 06/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Что было удобно добавлять данные в profile или ты данные собрался консольными ключи добавлять в строчку как текст?
| | |
|
| |
| 2.68, Омномним (?), 22:08, 06/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну да, в принципе по меркам тамошних решёт это мелочь несущественная.
| | |
| 2.69, Омномним (?), 22:09, 06/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
У кого в дыркерах софт с имажиком, отдающий назад результаты, из-под рута работает - тоже мои поздравления.
| | |
| |
| 3.74, Аноним (67), 22:52, 06/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
[irony]
Так а что делать если докер без рута не работает
[/irony]
| | |
|
| |
| 3.97, Омномним (?), 09:39, 07/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Я и грю, многие про привилегии в дыркере вообще не задумываются. Ачо, пусть рут будет. А то, что там можно вытащить какие-нибудь инфраструктурные ключи от софта под рутом - ну, это ж не баг, это фича.
| | |
|
|
| 1.81, Аноним (81), 03:15, 07/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>>В пакете ImageMagick, который
На минуточку, затевался как консольная утилита для обработки изображений в консоли пользователем с правами пользователя
>>часто используется web-разработчиками для преобразования изображений
А подумать до использования им нечем
| | |
| |
| 2.103, пох. (?), 10:40, 07/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>>В пакете ImageMagick, который
> На минуточку, затевался как консольная утилита для обработки изображений в консоли пользователем
угу, пользователь же ж мечтает попердолиться в консоли вручную. Для того ж и консоль (а совсем не для того чтоб использовать автоматизацию подобных задач).
> с правами пользователя
С правами пользователя вполне читаем .ssh/id_rsa и многое другое чего.
Конечно же непременно нужно это все зафигачить в фотку на документы какому-нибудь нелоху.
>>>часто используется web-разработчиками для преобразования изображений
> А подумать до использования им нечем
они как раз используют по назначению. Но давным-давно пора было понять что назначение у конкретно этого пакета - в мусорку.
Его разрабатывали в прекрасные древние дни, когда думать прежде чем пихать в код чтение первых попавшихся файлов по символьной ссылке было неположено.
| | |
| |
| 3.115, Аноним (81), 00:05, 08/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Конечно, виноваты разрабы утилиты
Вот про rm сразу предупредили всех, что нельзя прикручивать в вебморде без контроля входных параметров
А про ImageMagick предупредить не соизволили
>>для того чтоб использовать автоматизацию
Разница между запуском своим скриптом или в составе самостоятельно написанной команды и выполнением от вебсервера с неконтролируемыми параметрами неочевидна?
| | |
| |
| 4.122, пох. (?), 09:44, 08/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Внезапно, rm this-shit не удаляет /etc/passwd - ДАЖЕ если в this-shit двести раз повторить эту строчку и даже если запустить от рута.
Поэтому для нее - достаточно проверить именно входные параметры. А для имажика оказывается норм лезть в файлы по команде, найденной внутри файла. Ну местные эксперты не видят жеж разницы.
| | |
|
| 3.116, Аноним (81), 00:10, 08/02/2023 [^] [^^] [^^^] [ответить]
| +4 +/– | |
>> когда думать прежде чем пихать в код чтение первых попавшихся файлов по символьной ссылке было неположено
Защита через "соглашение о не чтении данных пользователем"
Тоесть писать программы надо так, чтоб не прочитать случайно что-то, что низя.
А то вдруг это куда-то передастся.
Трезвый хоть?
| | |
| |
| 4.118, пох. (?), 00:34, 08/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Ну уж явно не так чтобы читая явно заданный в команде файл, ВНЕЗАПНО прочитать заодно и совершенно неожиданный, причем ни вопросов не задавая (хотя бы отдельного ключа НЕ включенного по умолчанию) ни ограничением хотя бы разумных путей не парясь, да еще воткнуть его содержимое в результат. Тоже без шума и пыли.
Причем я уверен что существует ровно НОЛЬ пользователей волшебной консоли вручную запускателей imagemagick (в принципе, можно тут точку, их уже ноль) и при этом использующих профили из внешних файлов еще и по абсолютному пути.
| | |
| |
| 5.120, Аноним (81), 01:06, 08/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Попробуем иначе
Заменим ImageMagick на какую угодно другую утилиту
Обработка .png + путь в profile
Точно именно пользовательские утилиты должны следить за безопасностью пути в profile?
Защищать его от чтения и записи?
Не операционка?
Брендмауэр какой наконец?
Конечно, это зона ответственности утилит. Утилиты не должны использовать предоставленный им доступ. По-джентельменски.
| | |
| |
| 6.121, пох. (?), 09:37, 08/02/2023 [^] [^^] [^^^] [ответить] | –3 +/– | Блин, вы тут все реально такие т-пые какими кажетесь Или это от стекломоя по ут... большой текст свёрнут, показать | | |
| |
| 7.123, Аноним (81), 11:46, 08/02/2023 [^] [^^] [^^^] [ответить] | +3 +/– | Последняя попытка Утилита и её разработчики не несут ответствености ни за что ... большой текст свёрнут, показать | | |
| 7.124, Аноним (81), 11:48, 08/02/2023 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>>пользовательская утилита tar просто НЕ ДАСТ тебе распаковать /etc/passwd
За tar искренне рад
Это называется "дружелюбность" наверное и забота о юзере
Такое поведение хорошо, приятно, но не обязательно
| | |
|
|
|
|
|
|
| 1.91, Аноним (91), 09:09, 07/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
ImageMagick всегда будет проблемным куском кода. Изначально он разрабатывался как консольное приложение для локального использования, не как библиотека, и уж точно не как часть сервиса, доступно по сети. Библиотеку из него сделали абы как - там до сих пор заметная часть обработки ошибок - это тупо panic, что нормально для консольного приложения, но неприемлемо для библиотеки. Не говоря уж о минимуме проверок входных данных. Ещё в 2007 году этого накушался, и больше не трогаю, с тех пор в лучшую сторону оно изменилось не сильно.
Благо уже есть масса альтернатив, изначально разработанных как высокопроизводительные библиотеки. Та же libvips.
| | |
| |
| 2.130, Анончег (?), 10:41, 11/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
"Изначально" - я его по-прежнему так и использую и далеко не сразу узнал, что есть странные люди, так его использующие.
| | |
|
| |
| 2.104, пох. (?), 10:43, 07/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> GraphicsMagick is a fork of ImageMagick, emphasizing stability of both programming API and
без викивракеров мы бы об этом никак не догадались.
> То есть форк за бесплатно был сделан 20 лет назад.
И застрял на дырявом насквозь коде этой двадцатилетней давности, поэтому и с современными форматами проблемы, и ВСЕ дырки и баги оригинала, включая и нынешнюю, конечно же, унаследовал.
Но вы продолжайте верить в форки от трех васянов обещавших (20 лет назад) всем-показать-как-нада.
| | |
|
| 1.112, Геймер (?), 20:33, 07/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
"Профайл" - не уязвимость, а удобство в определённых случаях обработки метаданных изображений. Речь может идти не об отказе, а о дальнейшем усовершенствовании работы этой функции.
| | |
| |
| 2.119, пох. (?), 00:44, 08/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Если функции начинающиеся с Locale то о чем я подумал (нет, не о конной е6ле на этот раз) - я стал еще худшего мнения о разработчиках этого гуана.
| | |
| |
| |
| 4.126, пох. (?), 19:40, 08/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Зачем вот ты меня заставил читать эту мерзость?
Я же тебе не кидал ссылку про верблюда?
| | |
|
|
|
| 1.131, Аноним (131), 12:44, 13/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Дыра в imagemagick на новость уже не тянет, когда это в 50ый раз уже. Лучше объясните, что это вообще за profile в png? Почему там будет какой-то путь? Кто-нибудь в другом ПО его обрабатывает? Как это вообще должно включаться в файл, когда я файл скачаю из интернета и на моей пк не будет таких путей, как у создателя изображения?
| | |
|
