BG-HALF-LIFE
BG-HALF-LIFE

BG-HALF-LIFE

Българският Half Life портал
 
PortalPortal  ИндексИндекс  Последни снимкиПоследни снимки  Регистрирайте сеРегистрирайте се  ВходВход  
Присъединете се към нас в Discord или в групата ни във ФБ HL-BG Community
BG-SMURFA-VRATSA-Bat-Man Vs Iron-Man
Визита от други Държави
Flag Counter
Вече може да ни откриете и във социалните мрежи.

Share

0-day уязвимост в ImageMagick съществува в много уеб-сайтове

Предишната тема Следващата тема Go down
АвторСъобщение
smurfa_vr
HL-BG Community
HL-BG Community
smurfa_vr


Брой мнения : 8122
Дата на регистрация : 31.03.2011
Местожителство : Враца

0-day уязвимост в ImageMagick съществува в много уеб-сайтове   Empty
ПисанеЗаглавие: 0-day уязвимост в ImageMagick съществува в много уеб-сайтове 0-day уязвимост в ImageMagick съществува в много уеб-сайтове   EmptyСря 04 Май 2016, 12:03

В пакета ImageMagick, който често се използва от уеб-програмистите за преобразуване на изображения, бе разкрита опасната уязвимост тип "нулев ден" CVE-2016-3714, която самите експерти нарекоха ImageTragick. Пакетът ImageMagick е включен в много програмни библиотеки за работа с изображения, които се използват в уеб-сайтовете и дава възможност за изпълнение на програмен код при обработката на специално подготвени изображения. Уязвими са и библиотеките PHP imagick, Ruby rmagick, Ruby paperclip и Node.js imagemagick.

[You must be registered and logged in to see this image.]

Опасността е много голяма, понеже използването на тази уязвимост е твърде лесно - достатъчно е в уеб-сайта да могат да се качват изображения. Единственото необходимо условие е потребителят да има право да качва своите изображения на сървъра. Това се използва от милиони сайтове, които например дават възможност на потребителите да качат своя аватар.

Уязвимостта се дължи на ненадеждната проверка на имената на файловете и на първите няколко байта, които идентифицират файловите формати - "47 49 46 38" в началото означава GIF, "FF D8" - JPEG и т.н. По този начин става възможно да се осъществи атака чрез SVG и MVG файлове, които имат поставено разширение jpg, а ImageMagick ги пропуска на първия етап от проверката и след това ги обработва като SVG.

Подготвен е съответния пач, който съвсем скоро ще бъде предложен за инсталиране.


/kaldata.com

__________________________________________________________________________
[You must be registered and logged in to see this image.]
Върнете се в началото Go down
https://www.facebook.com//smurfavratsa
0-day уязвимост в ImageMagick съществува в много уеб-сайтове
Предишната тема Следващата тема Върнете се в началото
Страница 1 от 1
 Similar topics
-
» Милиони сайтове са под заплаха от уязвимост в Microsoft IIS 6
» ЗОМБИТА: Бързи и много тъпи ИЛИ бавни и много умни.
» Windows 10 излезе със много нови неща но и със много нови проблеми.
» Най красивата трансормация на windwos 7 която съществува
» Услугата Call of Duty Elite престава да съществува

Права за този форум:Не Можете да отговаряте на темите
BG-HALF-LIFE :: Интернет-