forum.opennet.ru

"Уязвимость в ImageMagick, приводящая к утечке содержимого локальных файлов"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Уязвимость в ImageMagick, приводящая к утечке содержимого ло..."	+4 +/–
Сообщение от Аноним (91), 07-Фев-23, 09:09
ImageMagick всегда будет проблемным куском кода. Изначально он разрабатывался как консольное приложение для локального использования, не как библиотека, и уж точно не как часть сервиса, доступно по сети. Библиотеку из него сделали абы как - там до сих пор заметная часть обработки ошибок - это тупо panic, что нормально для консольного приложения, но неприемлемо для библиотеки. Не говоря уж о минимуме проверок входных данных. Ещё в 2007 году этого накушался, и больше не трогаю, с тех пор в лучшую сторону оно изменилось не сильно. Благо уже есть масса альтернатив, изначально разработанных как высокопроизводительные библиотеки. Та же libvips.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в ImageMagick, приводящая к утечке содержимого локальных файлов, opennews, 06-Фев-23, 14:07 [смотреть все]

2 OpenNews Уязвимость в Ghostscript, эксплуатируемая через ImageMagick3 OpenN, полуфрактал, 06-Фев-23, 14:07 (1) //
- Там очень старый и наивный кот Так что неудивительно , commiethebeastie, 06-Фев-23, 14:25 (12) //
  - Так это вы новость писали,- в случае преобразования при помощи ImageMagick подг, Аноним, 06-Фев-23, 21:13 (65)
Типичная cишная дырeнь Когда уже всё перепишут на раст , ИмяХ, 06-Фев-23, 14:14 (2) //
- вот же - В рамках проекта ImageFlow началось развитие высокопроизводительной аль, Аноним, 06-Фев-23, 14:19 (6)
- СкороВот я на го перешёл и не жалею, о расте совсем на жалею, что там мой говнок, АнонимкаРастуимка, 06-Фев-23, 14:24 (10) //
  - Но опять же, плюсики любимые, вы самые красивые Я вас не предам Моя любовь к ва, АнонимкаРастуимка, 06-Фев-23, 14:25 (11)
- Я, конечно, понимаю, что это ШуТкА, но как здесь помог бы раст Об этой особенно, Аноним, 06-Фев-23, 14:58 (15) //
  - Неважно, главное - переписать , Аноним, 06-Фев-23, 15:07 (16) //
    - Это двойная, а то и тройная работа , Аноним, 06-Фев-23, 15:50 (23)
- Эксплоит на расте, Массоны Рептилоиды, 06-Фев-23, 15:51 (24)
- Ну ты какой-то совсем необучаемый НАЧНУТ переписывать же ж , пох., 06-Фев-23, 16:04 (28)
Это все уязвимо было всегда и будет всегда Надо запускать в песочнице и будет с, rshadow, 06-Фев-23, 14:14 (3) //
- А вдруг в песочнице тоже дырень Нужно просто писать без багов, а с багами писать, Анонимусс, 06-Фев-23, 16:37 (32) //
  - Ну рано или поздно тот или иной софт закроет 99,9 потребностей пользователей, т, Пенис, 06-Фев-23, 22:30 (71)
Доверие внешним данным Классика , Аноним, 06-Фев-23, 14:15 (4) //
- Просто надо верить что все люди добрые Вы пессимист , Вечно недовольный аноним, 06-Фев-23, 14:19 (7) //
  - Майор - добрейшей души человек , Аноним, 06-Фев-23, 15:09 (17) //
    - Не просто майор, а товарищ майор , Онан сын Иуды, 06-Фев-23, 17:55 (48)
      - Кому товарщ, а кому и гржаданин , Аноним, 06-Фев-23, 18:46 (56)
    - Майор разрабатывает ImageMagick и оставляет в нём эпичные дырищщи , Бывалый смузихлёб, 07-Фев-23, 06:29 (85)
      - Зачем ему самому-то утруждаться Он просто может вежливо попросить других оста, Аноним, 07-Фев-23, 12:39 (108)
    - Да и майнеры коинов и продавцы персональных данных так то никого не обидят Особ, Аноним, 07-Фев-23, 08:30 (87)
- Классика еще и в том что либу пишут те, кому интересна обработка картинок А о в, rshadow, 06-Фев-23, 14:24 (9) //
  - И о том, что либа в вебе используется вовсю, авторам никто не сказал , Аноним, 06-Фев-23, 15:18 (19) //
    - а это их проблема Если их библиотеку выбрали для использования вовсю, то она ус, Аноним, 06-Фев-23, 17:55 (50)
      - Опять суть опенсорса наружу лезет , Аноним, 06-Фев-23, 18:28 (54)
        
        и в чем же она Напомню, что после прочтения лицензии опенсурса у тебя была воз, Аноним, 06-Фев-23, 19:18 (58)
        
        ну очевидно же - сделать г-но на от сь, загадить поляну так чтоб ничего больше, пох., 06-Фев-23, 22:35 (72)
        
        Мне кажется, ты путаешь суть людей с сутью опенсорса Описанное тобой вполне мож, Аноним, 07-Фев-23, 02:11 (79)
        ImageMagick разоряет конкурентов Заказывает лживые статьи в СМИ Какая подлость, Аноним, 07-Фев-23, 09:01 (88)
        
        Суть в том, что ВАМНИКТОНИДОЛЖЕН А в итоге мы имеем каличный Gimp, 171 готовы, Аноним, 07-Фев-23, 11:41 (106)
        
        Суть в том, что у пользователя есть _возможность_ получить исходники Если польз, Аноним, 07-Фев-23, 17:43 (111)
        Покупали бы мандриву, она бы не обанкротилась и был бы десктопный Линукс Нет На, Аноним, 08-Фев-23, 23:58 (127)
        Нет денег сделай порт paint netА у crossover нет программа для тестировщиков с в, Аноним, 09-Фев-23, 00:02 (128)
        3 5 разработка Gimp сделали за бесплатно то что могли, на gegl его 20 лет портир, Аноним, 09-Фев-23, 00:11 (129)
        
        Это вместо того, чтобы заключить с авторами контракт на доработку библиотеки в н, AKTEON, 06-Фев-23, 20:56 (64)
        
        Ага, щас с г-ноделами все мечтают заключить контракт на доработки ну вот ты м, пох., 06-Фев-23, 22:51 (73)
        
        Что Неудачный день Никто контракт с тобой не заключает , Советский инженер, 07-Фев-23, 00:33 (77)
        Напиши лучше, покажи свои скилы Или ты как очередной эксперт, способен писать то, Аноним, 07-Фев-23, 09:04 (90)
        ну не заключайте Автономия воли хозяйствующих субъектов так сказать А зачем, AKTEON, 07-Фев-23, 12:32 (107)
  - А что если тем, кто занимается вебом, написать необходимый функционал, прислать , Аноним, 06-Фев-23, 15:36 (20)
Помню времена, PSP-3000 взламывали PNGшками А ведь прошло с десяток лет , Аноним, 06-Фев-23, 14:21 (8) //
- Фичи такие фичи , Аноним, 06-Фев-23, 15:51 (25)
А почему эту уязвимость заметил васян с завода, а не многомиллиардные компании а, анон, 06-Фев-23, 14:28 (13) //
- Им надо многомиллиарды считать, а не отвлекаться на какие-то уязвимости , Аноним, 06-Фев-23, 16:12 (29)
- А где у Apple imageMagick , iPony129412, 06-Фев-23, 16:33 (31) //
  - Об этом гусары молчат обычно , Аноним, 06-Фев-23, 17:24 (38)
  - сd ABЫRVALG AdobeFotojop app Contents MacOS convert 124 grep ImageMagickТ, анон, 06-Фев-23, 19:29 (59) //
    - Я про Apple спрашивал , iPony129412, 07-Фев-23, 03:13 (80)
  - https ports macports org port ImageMagick , 111, 07-Фев-23, 09:29 (95) //
    - Это троллинг глупостью , iPony129412, 07-Фев-23, 10:40 (102)
- Потому они это не используют Это используют в основном php сайты, у которых вып, Аноним, 06-Фев-23, 19:09 (57)
Что авторы формата PNG, что авторы ImageMagic - друг друга стОят , YetAnotherOnanym, 06-Фев-23, 14:54 (14) //
- Авторы PNG здесь обсолютно не при чем в блоке матаданных может быть любой произ, Аноним, 06-Фев-23, 17:17 (37)
Зря они не порекомендовали не использовать ImageMagick Там и так в политиках куч, corvuscor, 06-Фев-23, 15:46 (21) //
- Не надо в веб бекенде использовать такое Для таких макак и разрабатывают ASP NE, Аноним, 06-Фев-23, 16:38 (33) //
  - Только GD, только hurtcore , Аноним, 06-Фев-23, 16:40 (34) //
    - Конвейеры из программ netpbm , Аноним, 06-Фев-23, 17:29 (41)
- Ну допустим у меня есть имахемагик в проектах, но я либо чужие файлы не загружаю, Омномним, 06-Фев-23, 22:24 (70) //
  - оригинальные у тебя прожекты, конечно Но вообще-то в большинстве случаев пакетна, пох., 06-Фев-23, 22:55 (76) //
    - Ну а чего оригинальные Взять пачку картинок, трансформировать, выдать уже совер, Омномним, 07-Фев-23, 09:36 (96)
      - прилепить к нему профиль, из оригинала, который э оказывается не профиль Пото, пох., 07-Фев-23, 10:36 (101)
        
        Не, там собственный ICC, потому что смешение может идти из источников с разными , Омномним, 07-Фев-23, 22:13 (114)
файл coders jpeg c, функция JPEGSetImageQuality, константные массивы hash и sums, Аноним, 06-Фев-23, 15:49 (22) //
- три програмизда уже отметилось ещё , Аноним, 06-Фев-23, 17:55 (47) //
  - Покажи свой код, Аноним, 07-Фев-23, 09:02 (89) //
    - include stdio h int main printf Hello, World return 0 , Аноним, 07-Фев-23, 14:13 (110)
В каком место это уязвимость то Это особенность работы с хз чем И вообще это в, Аноним, 06-Фев-23, 15:55 (26) //
- Действительно с какой это стати возможность получить любой файл сервера подсунув, Аноним, 06-Фев-23, 17:02 (35) //
  - Почему любой В чруте ты получишь то, что в чруте , 1, 06-Фев-23, 17:28 (40)
  - С такой же, как и особенность работы с памятью , это было описано в документац, Аноним, 06-Фев-23, 17:39 (44)
  - А кто обещал что это на сайте должно работать Я может локально хочу обрабатыват, fuggy, 06-Фев-23, 20:12 (61)
- Вот-вот сами права доступа задавать не умеют, а потом бочку на ImageMagick катят, Аноним, 06-Фев-23, 21:51 (67)
Прыкольно, особенно то что ImageMagic зачастую содержится в больших программных , хрю, 06-Фев-23, 17:36 (43)
Ничего не нашёл на тему профилей в PNG metadata кроме ICC Profile name И похоже, Аноним, 06-Фев-23, 20:09 (60) //
- Что было удобно добавлять данные в profile или ты данные собрался консольными кл, Аноним, 06-Фев-23, 21:50 (66)
у всех же дыркер, не чего бояться то , Sw00p aka Jerom, 06-Фев-23, 20:41 (62) //
- Ну да, в принципе по меркам тамошних решёт это мелочь несущественная , Омномним, 06-Фев-23, 22:08 (68)
- У кого в дыркерах софт с имажиком, отдающий назад результаты, из-под рута работа, Омномним, 06-Фев-23, 22:09 (69) //
  - irony Так а что делать если докер без рута не работает irony , Аноним, 06-Фев-23, 22:52 (74) //
    - дыркер в дыркере , Sw00p aka Jerom, 07-Фев-23, 06:16 (84)
- Дыркер для упрощения развертывания , Бывалый смузихлёб, 07-Фев-23, 06:34 (86) //
  - Я и грю, многие про привилегии в дыркере вообще не задумываются Ачо, пусть рут , Омномним, 07-Фев-23, 09:39 (97)
Юзайте libvips, он лучше и быстее , Аноним, 06-Фев-23, 20:42 (63) //
- Тогда уж PIL потому что питон это всё , Аноним, 06-Фев-23, 22:53 (75)
На минуточку, затевался как консольная утилита для обработки изображений в консо, Аноним, 07-Фев-23, 03:15 (81) //
- угу, пользователь же ж мечтает попердолиться в консоли вручную Для того ж и кон, пох., 07-Фев-23, 10:40 (103) //
  - Конечно, виноваты разрабы утилитыВот про rm сразу предупредили всех, что нельзя , Аноним, 08-Фев-23, 00:05 (115) //
    - Внезапно, rm this-shit не удаляет etc passwd - ДАЖЕ если в this-shit двести раз, пох., 08-Фев-23, 09:44 (122)
  - Защита через соглашение о не чтении данных пользователем Тоесть писать программ, Аноним, 08-Фев-23, 00:10 (116) //
    - Ну уж явно не так чтобы читая явно заданный в команде файл, ВНЕЗАПНО прочитать з, пох., 08-Фев-23, 00:34 (118)
      - Попробуем иначеЗаменим ImageMagick на какую угодно другую утилитуОбработка png , Аноним, 08-Фев-23, 01:06 (120)
        
        Блин, вы тут все реально такие т-пые какими кажетесь Или это от стекломоя по ут, пох., 08-Фев-23, 09:37 (121)
        
        Последняя попытка Утилита и её разработчики не несут ответствености ни за что Ут, Аноним, 08-Фев-23, 11:46 (123)
        За tar искренне радЭто называется дружелюбность наверное и забота о юзереТакое, Аноним, 08-Фев-23, 11:48 (124)
ImageMagick всегда будет проблемным куском кода Изначально он разрабатывался ка , Аноним, 07-Фев-23, 09:09 (91) //
- Изначально - я его по-прежнему так и использую и далеко не сразу узнал, что ес, Анончег, 11-Фев-23, 10:41 (130)
https en m wikipedia org wiki GraphicsMagickGraphicsMagick is a fork of ImageM, Аноним, 07-Фев-23, 09:13 (94) //
- без викивракеров мы бы об этом никак не догадались И застрял на дырявом насквозь, пох., 07-Фев-23, 10:43 (104) //
  - Сам то ты даже этого не показал, Аноним, 08-Фев-23, 00:19 (117)
Профайл - не уязвимость, а удобство в определённых случаях обработки метаданны, Геймер, 07-Фев-23, 20:33 (112)
А на ImageMagick6 6 9 12 73 уязвимость не проявляется ---official patch https , Аноним, 07-Фев-23, 21:02 (113) //
- Если функции начинающиеся с Locale то о чем я подумал нет, не о конной е6ле на , пох., 08-Фев-23, 00:44 (119) //
  - https github com ImageMagick ImageMagick6 blob main magick locale c L1411, Аноним, 08-Фев-23, 19:13 (125) //
    - Зачем вот ты меня заставил читать эту мерзость Я же тебе не кидал ссылку про вер, пох., 08-Фев-23, 19:40 (126)
Дыра в imagemagick на новость уже не тянет, когда это в 50ый раз уже Лучше объя, Аноним, 13-Фев-23, 12:44 (131)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру