OpenForum RSS: Уязвимость в ImageMagic, позволившая получить доступ к чужим... https://opennet.ru/openforum/vsluhforumID3/111300.html Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал (https://scarybeastsecurity.blogspot.ru/2017/05/bleed-continues-18-byte-file-14k-bounty.html) сведения о новой уязвимости (CVE-2017-9098 (https://security-tracker.debian.org/tracker/CVE-2017-9098), кодовое имя "Yahoobleed") в пакете ImageMagick (http://www.imagemagick.org/), который часто используется web-разработчиками для преобразования изображений. Примечательно, что в <br>GraphicsMagick (http://www.graphicsmagick.org/), форке ImageMagic, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах, проблема осталась неисправленной в ImageMagic.<br><br><br>Проблема присутствует в декодировщике RLE, который использует не инициализированные блоки памяти, что позволяет атакующему получить доступ к информации, оставшейся от других обработчиков в данном процессе. Наиболее интересным моментом стала разработка практическог Уязвимость в ImageMagick, позволившая получить доступ к чужи... (anonim) https://opennet.ru/openforum/vsluhforumID3/111300.html#35 Tue, 30 May 2017 20:15:34 GMT &gt; И что вас смущает? GraphicsMagick 1.3.24 released May 30, 2016.<br><br>Для слоупоков что ли? Вот это и смущает.<br> Уязвимость в ImageMagick, позволившая получить доступ к чужи... (Аноним) https://opennet.ru/openforum/vsluhforumID3/111300.html#34 Sat, 27 May 2017 19:02:16 GMT И что вас смущает? GraphicsMagick 1.3.24 released May 30, 2016.<br> Уязвимость в ImageMagick, позволившая получить доступ к чужи... (anonim) https://opennet.ru/openforum/vsluhforumID3/111300.html#33 Sat, 27 May 2017 10:32:41 GMT "Примечательно, что в GraphicsMagick ... уязвимость была устранена ещё в марте 2016 года, ..."<br>"Проблема устранена в ... GraphicsMagick 1.3.24."<br> Уязвимость в ImageMagic, позволившая получить доступ к чужим... (Омноним) https://opennet.ru/openforum/vsluhforumID3/111300.html#32 Sat, 27 May 2017 00:29:04 GMT Помню тоже лет пять назад решил перевести корпоративную почту на собственном серваке на Zarafa. И только когда всё уже было установлено, настроено и объявлено на всю фирму, что теперь почта - вот тут, выяснилось, что она не умеет кодировки (поддерживалась только CP-1252). Сказать, что я охренел - ничего не сказать. Я реально не мог ни в каком бредовом сне себе представить, что может существовать почтивик (причём не реликтовый, а позиционирующийся как что-то современное), гвоздями прибитый к одной устаревшей кодировке, это на столько не укладывалось в голове, что и заранее проверить такое прийти в голову не могло. Пришлось сносить и откатываться на старое решение т.к. хоть и существовал неофициальный патч для глобальной замены CP-1252 на CP-1251, нам были нужны все три европейские (CP-1250, CP-1251, CP-1252) и UTF-8.<br> Уязвимость в ImageMagic, позволившая получить доступ к чужим... (Admino) https://opennet.ru/openforum/vsluhforumID3/111300.html#31 Wed, 24 May 2017 08:49:18 GMT Да, хомячкам действительно тяжело пользоваться чем-то, кроме ImageMagick, на столько они привыкли в своём почтовом интерфейсе делать mogrify -path OUTPUT_PATH -filter Triangle -define filter:support=2 -thumbnail OUTPUT_WIDTH -unsharp 0.25x0.08+8.3+0.045 -dither None -posterize 136 -quality 82 -define jpeg:fancy-upsampling=off -define png:compression-filter=5 -define png:compression-level=9 -define png:compression-strategy=1 -define png:exclude-chunk=all -interlace none -colorspace sRGB INPUT_PATH<br> Уязвимость в ImageMagic, позволившая получить доступ к чужим... (Аноним) https://opennet.ru/openforum/vsluhforumID3/111300.html#30 Wed, 24 May 2017 06:35:34 GMT Либо решение принимал непрофессионал, либо давно давно продумывался уход от этого пакета, а уязвимостями воспользовались, чтобы хомячки меньше ныли что им непривычно. <br> Уязвимость в ImageMagic, позволившая получить доступ к чужим... (angra) https://opennet.ru/openforum/vsluhforumID3/111300.html#28 Tue, 23 May 2017 22:45:28 GMT &gt; Было дело, правда, лет десять назад, но уже тогда это воспринималось как нонсенс. <br><br>Десять лет назад кодировки как раз были актуальной проблемой, сейчас всюду юникод, про существование кодировок постепенно забывают и скоро нонсенсом будет их поддержка, а не ее отсутсвие. <br><br><br> Уязвимость в ImageMagic, позволившая получить доступ к чужим... (angra) https://opennet.ru/openforum/vsluhforumID3/111300.html#27 Tue, 23 May 2017 22:36:10 GMT Не надо ставить равенство между "я не пользуюсь" и "никто не пользуется". Ваши полтора инвалида на самом деле исчисляются миллионами. <br> Уязвимость в ImageMagic, позволившая получить доступ к чужим... (sHAsHiLx) https://opennet.ru/openforum/vsluhforumID3/111300.html#26 Tue, 23 May 2017 21:24:04 GMT &gt; A, MX & PTR - это пожалуй все, что они у яхи <br>&gt; юзают. Скорее всего у них свои сервера, тем более почтовые.<br><br>я на почту sky.com захожу через яховский вебинтерфейс<br>