Ryan Huber из отдела безопасности Slack анонсировал некую критическую уязвимость в софте, используемом множеством сайтов. Этим софтом оказался ImageMagick — популярный пакет для обработки изображений.
Краткая информация об уязвимостях размещена на сайте
Скрытый текст!
Подробности на форуме.... Да, без названия и сайта для уязвимости не обошлось и в этот раз, хотя изначально Райан писал, что никакого пафоса, включая название и сайт, не будет. (есть ещё и твиттер)
Уязвимость была обнаружена stewie и раскрыта на hackerone 21 апреля в репорте, по всей видимости, Mail.ru, ибо примерно через неделю после этого Николай Ермишкин из команды безопасности Мэйла нашёл возможность выполнить RCE. Обо всём этом, само собой, сообщили команде разработки IM. Те 30 апреля выпустили фикс, но уже 1 мая им сообщили, что фикс немножко не фикс. Поэтому 2 мая уязвимость раскрыли в листе рассылки разработчиков пакетов, основанных на IM, а 3 мая уязвимость раскрыли публично. Спустя несколько часов после этого на openwall появилось подробное описание с примерами эксплойтов.
Уязвимость затрагивает следующие продукты: PHP imagick, Ruby rmagick, Ruby paperclip и Node.js imagemagick. По имеющимся данным, информация об уязвимости стала доступна посторонним лицам до обнародования проблемы, и в настоящее время эксплоит к уязвимости активно используется злоумышленниками.
На момент написания новости исправление ошибки было доступно только в виде неполного патча. В качестве временной меры предотвращения эксплуатации уязвимости пользователям ImageMagick рекомендуется отключить проблемные типы обработчиков EPHEMERAL, URL, MVG и MSL в файле конфигурации /etc/ImageMagick/policy.xml. Также предлагается реализовать проверку поступающих на обработку изображений на предмет соответствия расширения файла и его идентификатора в заголовке файла (GIF – «47 49 46 38», JPEG – «FF D8» и т.п.).
Помимо CVE-2016-3714, в ImageMagick обнаружено несколько менее опасных уязвимостей, позволяющих инициировать запросы HTTP GET или FTP (CVE-2016-3718), удалить или переместить файлы (CVE-2016-3715 и CVE-2016-3716) при обработке специально оформленных изображений, а также получить доступ к произвольным локальным данным на сервере через использование псевдопротокола 'label' (CVE-2016-3717).
»» Нажмите, для закрытия спойлера | Press to close the spoiler «« 