Представлен (http://www.graphicsmagick.org/NEWS.html#june-15-2019) новый выпуск пакета для обработки и преобразования изображений
GraphicsMagick 1.3.32 (http://www.graphicsmagick.org/), в котором устранены 52 потенциальные уязвимости, выявленные в ходе fuzzing-тестирования проектом OSS-Fuzz (https://www.opennet.ru/opennews/art.shtml?num=45602).
Всего с февраля 2018 года при помощи OSS-Fuzz было выявлено 343 проблемы, из которых 331 уже устранены в GraphicsMagick (для оставшихся 12 пока не истёк 90-дневный срок, отводимый на исправление). Отдельно
отмечается (https://www.openwall.com/lists/oss-security/2019/06/15/2), что OSS-Fuzz также используется для проверки смежного проекта ImageMagick (https://imagemagick.org/), в котором в настоящее время остаются неустранёнными более 100 проблем, информация о которых уже доступна публично после истечения времени на исправление.
Кроме потенциальных проблем, выявленных проектом OSS-Fuzz, в GraphicsMagick 1.3.32 также устранено 14 уязвимостей, которые могут привести к переполнению буфера при обработке специально оформленных изображений в форматах SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF и XWD. Из не связанных с безопасностью улучшений выделяется расширение поддержки WebP и возможность записи изображений в формате Braille для просмотра незрячими.
Также отмечается удаление из GraphicsMagick 1.3.32 возможности, которая может использоваться для организации утечки данных. Проблема касается обработки нотации "@имяфайла" для форматов SVG и WMF, позволяющей вывести поверх изображения или включить в состав метаданных текст, присутствующий в указанном файле. Потенциально при отсутствии в web-приложениях должной проверки входных параметров атакующие могут воспользоваться данной функцией для получения содержимого файлов с сервера, например, ключей доступа и сохранённых паролей. Проблема также проявляется в ImageMagick.
URL: https://www.openwall.com/lists/oss-security/2019/06/15/9
Новость: https://www.opennet.ru/opennews/art.shtml?num=50876