BG-HALF LIFE

BG-HALF LIFE

Българският Half Life портал
 
PortalPortal  ИндексИндекс  Въпроси/ОтговориВъпроси/Отговори  Регистрирайте сеРегистрирайте се  ВходВход  
*BG-SMURFA-VRATSA* ви пожелава приятна игра в сървърите ни :)
CSPORTAL-BG.IN # Army Ranks+Respawn
Визита от други Държави
Flag Counter

Share| .

0-day уязвимост в ImageMagick съществува в много уеб-сайтове

Предишната тема Следващата тема Go down
АвторСъобщение
smurfa_vr
HL-BG Community
HL-BG Community


Брой мнения : 4753
Дата на регистрация : 31.03.2011
Местожителство : Враца

ПисанеЗаглавие: 0-day уязвимост в ImageMagick съществува в много уеб-сайтове Сря 04 Май 2016, 12:03

В пакета ImageMagick, който често се използва от уеб-програмистите за преобразуване на изображения, бе разкрита опасната уязвимост тип "нулев ден" CVE-2016-3714, която самите експерти нарекоха ImageTragick. Пакетът ImageMagick е включен в много програмни библиотеки за работа с изображения, които се използват в уеб-сайтовете и дава възможност за изпълнение на програмен код при обработката на специално подготвени изображения. Уязвими са и библиотеките PHP imagick, Ruby rmagick, Ruby paperclip и Node.js imagemagick.

[You must be registered and logged in to see this image.]

Опасността е много голяма, понеже използването на тази уязвимост е твърде лесно - достатъчно е в уеб-сайта да могат да се качват изображения. Единственото необходимо условие е потребителят да има право да качва своите изображения на сървъра. Това се използва от милиони сайтове, които например дават възможност на потребителите да качат своя аватар.

Уязвимостта се дължи на ненадеждната проверка на имената на файловете и на първите няколко байта, които идентифицират файловите формати - "47 49 46 38" в началото означава GIF, "FF D8" - JPEG и т.н. По този начин става възможно да се осъществи атака чрез SVG и MVG файлове, които имат поставено разширение jpg, а ImageMagick ги пропуска на първия етап от проверката и след това ги обработва като SVG.

Подготвен е съответния пач, който съвсем скоро ще бъде предложен за инсталиране.


/kaldata.com

__________________________________________________________________________
[You must be registered and logged in to see this image.]
[You must be registered and logged in to see this image.]
Върнете се в началото Go down
http://smurfa.bulgarianforum.net https://www.facebook.com//smurfavratsa
0-day уязвимост в ImageMagick съществува в много уеб-сайтове
Предишната тема Следващата тема Върнете се в началото
Страница 1 от 1

Permissions in this forum:Не Можете да отговаряте на темите
BG-HALF LIFE :: Интернет-