Мир: В ImageMagick устранена критическая уязвимость, позволяющая удаленно выполнить код

0

В пакете ImageMagick, используемом web-разработчиками для преобразования изображений, исправлен ряд уязвимостей, в том числе критическая проблема (CVE-2016-3714), позволяющая удаленное выполнение кода при обработке специально сформированных изображений.

Уязвимость затрагивает следующие продукты: PHP imagick, Ruby rmagick, Ruby paperclip и Node.js imagemagick. По имеющимся данным, информация об уязвимости стала доступна посторонним лицам до обнародования проблемы, и в настоящее время эксплоит к уязвимости активно используется злоумышленниками.

На момент написания новости исправление ошибки было доступно только в виде неполного патча. В качестве временной меры предотвращения эксплуатации уязвимости пользователям ImageMagick рекомендуется отключить проблемные типы обработчиков EPHEMERAL, URL, MVG и MSL в файле конфигурации /etc/ImageMagick/policy.xml. Также предлагается реализовать проверку поступающих на обработку изображений на предмет соответствия расширения файла и его идентификатора в заголовке файла (GIF – “47 49 46 38”, JPEG – “FF D8” и т.п.).

Помимо CVE-2016-3714, в ImageMagick обнаружено несколько менее опасных уязвимостей, позволяющих инициировать запросы HTTP GET или FTP (CVE-2016-3718), удалить или переместить файлы (CVE-2016-3715 и CVE-2016-3716) при обработке специально оформленных изображений, а также получить доступ к произвольным локальным данным на сервере через использование псевдопротокола ‘label’ (CVE-2016-3717). (ImageMagick/NovostIT)