热门开源软件ImageMagick中出现多个新漏洞
编译:代码卫士
网络安全研究员详述了开源软件 ImageMagick 中的两个漏洞详情,它们可导致拒绝服务和信息泄露后果。
这两个漏洞是由拉美网络安全公司 etabase Q 在7.1.0-49版本中发现的,已在2022年11月发布的ImageMagick 7.1.0-52中修复。这两个漏洞是CVE-2022-44267和CVE-2022-44268:前者是一个DoS漏洞,当解析文件名称中含有短横 (“-“)的PNG图像时就会触发;后一个漏洞是一个信息泄露漏洞,在解析图像时,可被用于读取服务器中的任意文件。
话虽如此,攻击者必须能够使用ImageMagick 将恶意图像上传到网站才能远程利用这些漏洞。特殊构造的图像可通过插入指定攻击者所选的某些元数据文本块的方式创建。
研究员在报告中指出,“如果特定的文件名是’-‘(单个短横),则ImageMagick 将尝试读取标准输入的内容,从而出现进程永远在等待的状态。”如果文件名指向服务器中的真正文件(如”/etc/passwd”),则输入上所执行的图像处理操作完成后则可能将远程文件的内容嵌入到已处理图像上。
这并非ImageMagick 中首次出现安全漏洞。2016年5月,该软件中出现多个漏洞且被统称为 “ImageTragick”,在处理由用户提交的图像时可用于获得远程代码执行权限。
2020年11月,该软件中出现一个shell注入漏洞,攻击者通过命令行参数 “-authenticate” 将加密PDF转换为PDF时,可插入任意命令。
https://thehackernews.com/2023/02/researchers-uncover-new-bugs-in-popular.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。