В ImageMagick устранена критическая уязвимость, позволяющая удаленно выполнить код

В ImageMagick устранена критическая уязвимость, позволяющая удаленно выполнить код

В настоящее время эксплоит к уязвимости активно используется злоумышленниками.

image

В пакете ImageMagick, используемом web-разработчиками для преобразования изображений, исправлен ряд уязвимостей, в том числе критическая проблема (CVE-2016-3714), позволяющая удаленное выполнение кода при обработке специально сформированных изображений.

Уязвимость затрагивает следующие продукты: PHP imagick, Ruby rmagick, Ruby paperclip и Node.js imagemagick. По имеющимся данным, информация об уязвимости стала доступна посторонним лицам до обнародования проблемы, и в настоящее время эксплоит к уязвимости активно используется злоумышленниками.

На момент написания новости исправление ошибки было доступно только в виде неполного патча. В качестве временной меры предотвращения эксплуатации уязвимости пользователям ImageMagick рекомендуется отключить проблемные типы обработчиков EPHEMERAL, URL, MVG и MSL в файле конфигурации /etc/ImageMagick/policy.xml. Также предлагается реализовать проверку поступающих на обработку изображений на предмет соответствия расширения файла и его идентификатора в заголовке файла (GIF – «47 49 46 38», JPEG – «FF D8» и т.п.).

Помимо CVE-2016-3714, в ImageMagick обнаружено несколько менее опасных уязвимостей, позволяющих инициировать запросы HTTP GET или FTP (CVE-2016-3718), удалить или переместить файлы (CVE-2016-3715 и CVE-2016-3716) при обработке специально оформленных изображений, а также получить доступ к произвольным локальным данным на сервере через использование псевдопротокола 'label' (CVE-2016-3717).

 

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle