smurfa_vr
HL-BG Community
Брой мнения : 8122
Дата на регистрация : 31.03.2011
Местожителство : Враца
 | | Заглавие: 0-day уязвимост в ImageMagick съществува в много уеб-сайтове Сря 04 Май 2016, 12:03 | |
| В пакета ImageMagick, който често се използва от уеб-програмистите за преобразуване на изображения, бе разкрита опасната уязвимост тип "нулев ден" CVE-2016-3714, която самите експерти нарекоха ImageTragick. Пакетът ImageMagick е включен в много програмни библиотеки за работа с изображения, които се използват в уеб-сайтовете и дава възможност за изпълнение на програмен код при обработката на специално подготвени изображения. Уязвими са и библиотеките PHP imagick, Ruby rmagick, Ruby paperclip и Node.js imagemagick. [You must be registered and logged in to see this image.]Опасността е много голяма, понеже използването на тази уязвимост е твърде лесно - достатъчно е в уеб-сайта да могат да се качват изображения. Единственото необходимо условие е потребителят да има право да качва своите изображения на сървъра. Това се използва от милиони сайтове, които например дават възможност на потребителите да качат своя аватар. Уязвимостта се дължи на ненадеждната проверка на имената на файловете и на първите няколко байта, които идентифицират файловите формати - "47 49 46 38" в началото означава GIF, "FF D8" - JPEG и т.н. По този начин става възможно да се осъществи атака чрез SVG и MVG файлове, които имат поставено разширение jpg, а ImageMagick ги пропуска на първия етап от проверката и след това ги обработва като SVG. Подготвен е съответния пач, който съвсем скоро ще бъде предложен за инсталиране. /kaldata.com __________________________________________________________________________ [You must be registered and logged in to see this image.] |
|
Portal 
Индекс 
Последни снимки 
Регистрирайте се 
Вход 
