https://www.opennet.ru/openforum/vsluhforumID3/107796.html В библиотеке ImageMagick (http://www.imagemagick.org/), которая часто используется web-разработчиками для преобразования изображений (например, создания миниатюр), устранена (http://openwall.com/lists/oss-security/2016/05/03/13) порция уязвимостей (http://www.openwall.com/lists/oss-security/2016/05/03/18), среди которых имеется критическая проблема (CVE-2016-3714), позволяющая организовать выполнение кода при обработке специально оформленных изображений. В том числе проблеме подвержены пользователи пакетов PHP imagick, Ruby rmagick, Ruby paperclip и Node.js imagemagick. Уязвимости присвоено имя "ImageTragick (https://imagetragick.com/)".<br><br><br><br>Исследователями уже подготовлен (http://www.openwall.com/lists/oss-security/2016/05/03/18) рабочий прототип эксплоита, который вероятно уже взят злоумышленниками на вооружение для проведения атак (имеются сведения, что информация об уязвимости стала доступна посторонним до обнародования проблемы). Всем пользователям рекомендуется незамедлительно обновить ImageMagick, н https://www.opennet.ru/openforum/vsluhforumID3/107796.html#56 Sun, 08 May 2016 23:49:45 GMT &gt; это, если кто не понял, я не про imagemagick, а про дегенератов, <br>&gt; которых в детстве не научили использовать вещи по назначению и не тянуть в рот что попало.<br><br>System() интересная функция. Для грепания. В 90% случаев найдется или бэкдор или эксплойтабельная "фича".<br> https://www.opennet.ru/openforum/vsluhforumID3/107796.html#54 Sun, 08 May 2016 23:41:24 GMT Можно назвать это photo.jpg, далее image magic при попытке сконвертировать казалось бы жыпег немного выполнит команды, не только свои но и системные.<br> https://www.opennet.ru/openforum/vsluhforumID3/107796.html#53 Fri, 06 May 2016 06:57:14 GMT Нахрена они вообще что-то запускают?<br> https://www.opennet.ru/openforum/vsluhforumID3/107796.html#52 Fri, 06 May 2016 04:06:30 GMT &gt;&gt;ls *.jpg &#124; sed -r 's/^(.*)\.jpg$/c <br>&gt; a зачем когда есть православный find? ls дуба не даст в директории <br>&gt; с мульоном джипежек?<br><br>Преждевременную замечаю я в тебе оптимизацию не к месту, молодой падаван. Светлая сторона find ничто рядом с мулионом жипижок в 1 директории. Не позволяй тобой Злу овладеть. Грустно видеть, г[o]невом затуманен взор твой. &gt;?&lt;<br> https://www.opennet.ru/openforum/vsluhforumID3/107796.html#51 Thu, 05 May 2016 21:12:52 GMT &gt;&gt;ls *.jpg &#124; sed -r 's/^(.*)\.jpg$/c <br>&gt; a зачем когда есть православный find? ls дуба не даст в директории <br>&gt; с мульоном джипежек?<br><br>Даст. 4 гига размер командной строки :)<br> https://www.opennet.ru/openforum/vsluhforumID3/107796.html#49 Thu, 05 May 2016 18:37:11 GMT а главное никто не заметил - у мейлрушечного Karim Valiev почта на жимейле &lt;valievkarim@...il.com&gt; :)<br> https://www.opennet.ru/openforum/vsluhforumID3/107796.html#48 Thu, 05 May 2016 13:21:27 GMT &gt;ls *.jpg &#124; sed -r 's/^(.*)\.jpg$/c<br><br>a зачем когда есть православный find? ls дуба не даст в директории с мульоном джипежек?<br> https://www.opennet.ru/openforum/vsluhforumID3/107796.html#47 Thu, 05 May 2016 11:47:10 GMT ох&#8230; уберите уже детей из интернетов. и из разработки вообще.<br><br>это, если кто не понял, я не про imagemagick, а про дегенератов, которых в детстве не научили использовать вещи по назначению и не тянуть в рот что попало.<br> https://www.opennet.ru/openforum/vsluhforumID3/107796.html#46 Thu, 05 May 2016 07:05:40 GMT Речь только о "формате" MVG, содержимое которого является набором команд Imagemagick, которые могут принимать активное содержимое.<br><br>Чтобы оказаться уязвимым, нужно принимать и обрабатывать это файло со стороны.<br><br>Все равно, что shell-доступ без пароля.<br>