SECURITY: Zaskakująca podatność ImageMagick na ataki z wykorzystaniem .png

SECURITY: Zaskakująca podatność ImageMagick na ataki z wykorzystaniem .png

2023-02-03 17:03 Redakcja

ImageMagick to popularna biblioteka do obróbki obrazów, która w ostatnim czasie ujawniała poważne luki bezpieczeństwa. Jedna z nich, oznaczona jako CVE-2022-44268, pozwalała na odczyt dowolnych plików z serwera poprzez niewinny upload pliku .png.

Podatność ta została załatana w listopadzie 2022 roku, ale warto zwrócić uwagę na mechanizm działania ataku. Sam upload pliku nie wystarczy – konieczne jest przetworzenie go przez podatną wersję ImageMagick. Na przykład, zmiana rozmiaru obrazka może być wystarczająca, aby zrealizować atak.

Jak to wygląda w praktyce? Wystarczy, że w nazwie uploadowanego pliku znajdzie się ścieżka do istotnych danych, np. /etc/passwd. W momencie, gdy ImageMagick przetwarza obraz, może nastąpić wyciek informacji.

Dla programistów i administratorów to poważne ostrzeżenie przed nieostrożnym używaniem tej biblioteki. Zachęcamy do zapoznania się z pełnym opisem luk oraz ich demonstracją.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.