Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в ImageMagick, приводящая к утечке содержимого локальных файлов"	+/–
Сообщение от opennews (?), 06-Фев-23, 14:07
В пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений, выявлена уязвимость CVE-2022-44268, которая может привести к утечке содержимого файлов в случае преобразования при помощи  ImageMagick подготовленных атакующим PNG-изображений. Уязвимость угрожает системам, которые обрабатывают внешние изображения и затем дают возможность загрузить результаты преобразования... Подробнее: https://www.opennet.me/opennews/art.shtml?num=58610
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от полуфрактал (?), 06-Фев-23, 14:07	+3 +/–
2. OpenNews: Уязвимость в Ghostscript, эксплуатируемая через ImageMagick 3. OpenNews: Уязвимость в ImageMagick, позволившая получить доступ к чужим вложениям в почте Yahoo 4. OpenNews: В рамках проекта ImageFlow началось развитие высокопроизводительной альтернативы ImageMagick 5. OpenNews: Новая критическая уязвимость в GraphicsMagick и ImageMagick 6. OpenNews: Критическая уязвимость в пакете ImageMagick, используемом на многих сайтах у него есть новости кроме уязвимостей?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

2. Сообщение от ИмяХ (?), 06-Фев-23, 14:14	–14 +/–
Типичная cишная дырeнь. Когда уже всё перепишут на раст?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #10, #15, #24, #28

3. Сообщение от rshadow (ok), 06-Фев-23, 14:14	+/–
Это все уязвимо было всегда и будет всегда. Надо запускать в песочнице и будет счастье.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

4. Сообщение от Аноним (4), 06-Фев-23, 14:15	+7 +/–
> Таким образом, для атаки достаточно добавить к PNG-изображению параметр "profile" с необходимым файловым путём (например, "/etc/passwd")… Доверие внешним данным. Классика.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #9

6. Сообщение от Аноним (6), 06-Фев-23, 14:19	+1 +/–
вот же - В рамках проекта ImageFlow началось развитие высокопроизводительной альтернативы ImageMagick ( https://www.opennet.me/opennews/art.shtml?num=44552 )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от Вечно недовольный аноним (?), 06-Фев-23, 14:19	+3 +/–
Просто надо верить что все люди добрые. Вы пессимист.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #17

8. Сообщение от Аноним (8), 06-Фев-23, 14:21	+6 +/–
Помню времена, PSP-3000 взламывали PNGшками. А ведь прошло с десяток лет :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

9. Сообщение от rshadow (ok), 06-Фев-23, 14:24	+9 +/–
Классика еще и в том что либу пишут те, кому интересна обработка картинок. А о вебе и прочих страшных вещах вполне могут не подумать (не иметь ни опыта, ни желания).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #19, #20

10. Сообщение от АнонимкаРастуимка (?), 06-Фев-23, 14:24	+2 +/–
Скоро Вот я на го перешёл и не жалею, о расте совсем на жалею, что там мой говнокод прекрасен, что здесь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #11

11. Сообщение от АнонимкаРастуимка (?), 06-Фев-23, 14:25	+/–
Но опять же, плюсики любимые, вы самые красивые! Я вас не предам! Моя любовь к вам с го напополам!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от commiethebeastie (ok), 06-Фев-23, 14:25	+12 +/–
Там очень старый и наивный кот. Так что неудивительно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #65

13. Сообщение от анон (?), 06-Фев-23, 14:28	+6 +/–
А почему эту уязвимость заметил васян с завода, а не многомиллиардные компании апле и адобе, которые постоянно внедряют опенсурс в свои платные проекты? Хмммм.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #31, #57

14. Сообщение от YetAnotherOnanym (ok), 06-Фев-23, 14:54	–1 +/–
> содержимое параметра "profile" из блока метаданных для определения имени файла с профилем, который включается в результирующий файл Что авторы формата PNG, что авторы ImageMagic - друг друга стОят.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

15. Сообщение от Аноним (15), 06-Фев-23, 14:58	+2 +/–
Я, конечно, понимаю, что это ШуТкА, но как здесь помог бы раст? Об этой особенности в доках бы написали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #16

16. Сообщение от Аноним (16), 06-Фев-23, 15:07	+1 +/–
Неважно, главное - переписать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #23

17. Сообщение от Аноним (16), 06-Фев-23, 15:09	+3 +/–
Майор - добрейшей души человек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #48, #85, #87

19. Сообщение от Аноним (56), 06-Фев-23, 15:18	+2 +/–
И о том, что либа в вебе используется вовсю, авторам никто не сказал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #50

20. Сообщение от Аноним (15), 06-Фев-23, 15:36	+6 +/–
> А о вебе и прочих страшных вещах вполне могут не подумать А что если тем, кто занимается вебом, написать необходимый функционал, прислать коммиты и обьяснить владельцам проекта почему это нужно добавить в основную ветку?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

21. Сообщение от corvuscor (ok), 06-Фев-23, 15:46	+2 +/–
>но разработчики ImageMagick рекомендовали Зря они не порекомендовали не использовать ImageMagick. Там и так в политиках куча всего отключено. Конечно, безмерно уважаю разработчиков столь полезной открытой утилиты, но это просто срам какой-то...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #70

22. Сообщение от Аноним (22), 06-Фев-23, 15:49	–2 +/–
файл coders/jpeg.c, функция JPEGSetImageQuality, константные массивы hash и sums не объявлены как статические -- это всё, что нужно знать о програмиздах ImageMagick
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

23. Сообщение от Аноним (23), 06-Фев-23, 15:50	+/–
Это двойная, а то и тройная работа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

24. Сообщение от Массоны Рептилоиды (?), 06-Фев-23, 15:51	+/–
Эксплоит на расте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

25. Сообщение от Аноним (23), 06-Фев-23, 15:51	+/–
Фичи такие фичи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

26. Сообщение от Аноним (26), 06-Фев-23, 15:55	–1 +/–
В каком место это уязвимость то? Это особенность работы с хз чем. И вообще это возможно описано в документации и просто кто-то неправильно формирует PNG-файлы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #67

28. Сообщение от пох. (?), 06-Фев-23, 16:04	+1 +/–
> Типичная cишная дырeнь. Когда уже всё перепишут на раст? Ну ты какой-то совсем необучаемый. "НАЧНУТ переписывать" же ж!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

29. Сообщение от Аноним (29), 06-Фев-23, 16:12	+2 +/–
Им надо многомиллиарды считать, а не отвлекаться на какие-то уязвимости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

31. Сообщение от iPony129412 (?), 06-Фев-23, 16:33	+2 +/–
А где у Apple imageMagick?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #38, #59, #95

32. Сообщение от Анонимусс (?), 06-Фев-23, 16:37	+2 +/–
А вдруг в песочнице тоже дырень! Нужно просто писать без багов, а с багами писать не нужно, дело-то...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #71

33. Сообщение от Аноним (33), 06-Фев-23, 16:38	+/–
Не надо в веб бекенде использовать такое. Для таких макак и разрабатывают ASP.NET Core + ImageSharp и подобное (где если и упадёт, то не так страшно).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #34

34. Сообщение от Аноним (34), 06-Фев-23, 16:40	+2 +/–
Только GD, только hurtcore!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #41

35. Сообщение от Аноним (35), 06-Фев-23, 17:02	+1 +/–
Действительно с какой это стати возможность получить любой файл сервера подсунув на сайте "неправильно сгенерированую" картинку считают уязвимостью...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #40, #44, #61

37. Сообщение от Аноним (37), 06-Фев-23, 17:17	+3 +/–
Авторы PNG здесь обсолютно не при чем: в блоке матаданных может быть любой произвольный текст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

38. Сообщение от Аноним (38), 06-Фев-23, 17:24	+2 +/–
Об этом гусары молчат обычно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

40. Сообщение от 1 (??), 06-Фев-23, 17:28	+/–
Почему "любой" ? В чруте ты получишь то, что в чруте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

41. Сообщение от Аноним (41), 06-Фев-23, 17:29	+/–
Конвейеры из программ netpbm.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

43. Сообщение от хрю (?), 06-Фев-23, 17:36	+2 +/–
Прыкольно, особенно то что ImageMagic зачастую содержится в больших программных продуктах (в той же alfresco да и в куче других) и зачастую ни пользователи ни админ об этом не в курсах :-)). В неё уже только добра понаходили, что flash уже по-моему обойдён.
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Аноним (26), 06-Фев-23, 17:39	+/–
> Действительно с какой это стати возможность получить любой файл С такой же, как и "особенность работы с памятью", "это было описано в документации, просто кто-то неправильно юзает hyper" и т.п стати
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

47. Сообщение от Аноним (22), 06-Фев-23, 17:55	+/–
три програмизда уже отметилось. ещё?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #89

48. Сообщение от Онан сын Иуды (?), 06-Фев-23, 17:55	+/–
Не просто майор, а товарищ майор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #56

50. Сообщение от Аноним (50), 06-Фев-23, 17:55	+3 +/–
а это их проблема? Если их библиотеку выбрали для использования вовсю, то она устраивала по всем параметрам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #54

54. Сообщение от Аноним (56), 06-Фев-23, 18:28	–3 +/–
Опять суть опенсорса наружу лезет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #58, #64

56. Сообщение от Аноним (56), 06-Фев-23, 18:46	+3 +/–
Кому товарщ, а кому и гржаданин.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

57. Сообщение от Аноним (88), 06-Фев-23, 19:09	+2 +/–
Потому они это не используют. Это используют в основном php сайты, у которых выполнение произвольного кода при распаковке архива реализовано на уровне языка
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

58. Сообщение от Аноним (50), 06-Фев-23, 19:18	+6 +/–
и в чем же она? Напомню, что после прочтения лицензии "опенсурса" у тебя была возможность отказаться от его использования и избежать последствий "сути"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #72, #106

59. Сообщение от анон (?), 06-Фев-23, 19:29	+4 +/–
сd ${ABЫRVALG}/AdobeFotojop.app/Contents/MacOS ./convert | grep ImageMagick Там еще в бинарях адобовских плагины гимпа и бленера вшиты даже не обфусцированные, но мне лень вспоминать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #80

60. Сообщение от Аноним (60), 06-Фев-23, 20:09	+/–
Ничего не нашёл на тему профилей в PNG metadata кроме ICC Profile name. И похоже что это не оно. Так вот вопрос, зачем автор добавил включение произвольных файлов при помощи дырки под названием profile.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66

61. Сообщение от fuggy (ok), 06-Фев-23, 20:12	+3 +/–
А кто обещал что это на сайте должно работать. Я может локально хочу обрабатывать картинку именно таким образом считывая локальный файл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

62. Сообщение от Sw00p aka Jerom (?), 06-Фев-23, 20:41	+/–
у всех же дыркер, не? чего бояться то?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #68, #69, #86

63. Сообщение от Аноним (63), 06-Фев-23, 20:42	+4 +/–
Юзайте libvips, он лучше и быстее.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75

64. Сообщение от AKTEON (?), 06-Фев-23, 20:56	+3 +/–
Это вместо того, чтобы заключить с авторами контракт на доработку библиотеки в нужном вам направлении - вы сидите и ждете халявы ?? Сидите и ждите. Ну или сами исправляйте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #73

65. Сообщение от Аноним (65), 06-Фев-23, 21:13	–1 +/–
Так это вы новость писали,- "в случае преобразования при помощи ImageMagick подготовленных атакующим PNG-изображений" о_0
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

66. Сообщение от Аноним (67), 06-Фев-23, 21:50	+1 +/–
Что было удобно добавлять данные в profile или ты данные собрался консольными ключи добавлять в строчку как текст?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

67. Сообщение от Аноним (67), 06-Фев-23, 21:51	+1 +/–
Вот-вот сами права доступа задавать не умеют, а потом бочку на ImageMagick катят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

68. Сообщение от Омномним (?), 06-Фев-23, 22:08	+2 +/–
Ну да, в принципе по меркам тамошних решёт это мелочь несущественная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

69. Сообщение от Омномним (?), 06-Фев-23, 22:09	+1 +/–
У кого в дыркерах софт с имажиком, отдающий назад результаты, из-под рута работает - тоже мои поздравления.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #74

70. Сообщение от Омномним (?), 06-Фев-23, 22:24	+/–
Ну допустим у меня есть имахемагик в проектах, но я либо чужие файлы не загружаю, либо результаты назад никому не отдаю :D Почему бы мне его не использовать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #76

71. Сообщение от Пенис (?), 06-Фев-23, 22:30	+/–
Ну рано или поздно тот или иной софт закроет 99,9% потребностей пользователей, так что да, можно исправить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

72. Сообщение от пох. (?), 06-Фев-23, 22:35	–7 +/–
> и в чем же она? ну очевидно же - сделать г-но на от...сь, загадить поляну так чтоб ничего больше не выросло, сидеть, ждать донейтов. Дыры объявлять фичами и "исправлять" идиотскими полиси-файлами. (обработку pdf они особенно хорошо "исправили") > у тебя была возможность отказаться от его использования и избежать последствий "сути" это чем-то отменяет факт что опинсурсь по прежнему - в основном дырявое кривое и гнилое г-но?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #79, #88

73. Сообщение от пох. (?), 06-Фев-23, 22:51	–2 +/–
Ага, щас... с г-ноделами все мечтают заключить контракт на доработки. > Ну или сами исправляйте. ну вот ты много сам исправил? А, ты ж не умеешь кодить, действительно...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #77, #90, #107

74. Сообщение от Аноним (67), 06-Фев-23, 22:52	+1 +/–
[irony] Так а что делать если докер без рута не работает [/irony]
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #84

75. Сообщение от Аноним (67), 06-Фев-23, 22:53	–2 +/–
Тогда уж PIL потому что питон это всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

76. Сообщение от пох. (?), 06-Фев-23, 22:55	+/–
оригинальные у тебя прожекты, конечно. Но вообще-то в большинстве случаев пакетная обработка файлов требуется совсем не для того чтобы что-то обработать и выкинуть. Скорее чтоб выкинуть оригинал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #96

77. Сообщение от Советский инженер (?), 07-Фев-23, 00:33	+/–
Что? Неудачный день? Никто контракт с тобой не заключает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

79. Сообщение от Аноним (50), 07-Фев-23, 02:11	+/–
Мне кажется, ты путаешь суть людей с сутью опенсорса. Описанное тобой вполне можно получить и за деньги. Я просто напоминаю про факт, что конечное решение за тобой. Ты всегда можешь найти людей, которые сделают качественно и на совесть, а не использовать гнилой и дырявый "опинсурсь". Скушай шоколадку, а то ты злой какой-то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

80. Сообщение от iPony129412 (?), 07-Фев-23, 03:13	–1 +/–
Я про Apple спрашивал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

81. Сообщение от Аноним (81), 07-Фев-23, 03:15	+1 +/–
>>В пакете ImageMagick, который На минуточку, затевался как консольная утилита для обработки изображений в консоли пользователем с правами пользователя >>часто используется web-разработчиками для преобразования изображений А подумать до использования им нечем
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #103

84. Сообщение от Sw00p aka Jerom (?), 07-Фев-23, 06:16	+1 +/–
дыркер в дыркере:)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

85. Сообщение от Бывалый смузихлёб (?), 07-Фев-23, 06:29	+/–
Майор разрабатывает ImageMagick и оставляет в нём эпичные дырищщи ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #108

86. Сообщение от Бывалый смузихлёб (?), 07-Фев-23, 06:34	+/–
Дыркер для упрощения развертывания..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #97

87. Сообщение от Аноним (-), 07-Фев-23, 08:30	+/–
Да и майнеры коинов и продавцы персональных данных так то никого не обидят. Особенно - себя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

88. Сообщение от Аноним (88), 07-Фев-23, 09:01	+/–
ImageMagick разоряет конкурентов? Заказывает лживые статьи в СМИ? Какая подлость... Или может быть причина в том что нет желающих писать за бесплатно аналог уже написанной за бесплатно ImageMagick И даже форк с упором на безопасность никто за бесплатно тянуть не хочет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

89. Сообщение от Аноним (89), 07-Фев-23, 09:02	+/–
Покажи свой код
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #110

90. Сообщение от Аноним (88), 07-Фев-23, 09:04	+/–
Напиши лучше, покажи свои скилы. Или ты как очередной эксперт, способен писать только глупые комментарии с оскорблениями разработчиков
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

91. Сообщение от Аноним (91), 07-Фев-23, 09:09	+4 +/–
ImageMagick всегда будет проблемным куском кода. Изначально он разрабатывался как консольное приложение для локального использования, не как библиотека, и уж точно не как часть сервиса, доступно по сети. Библиотеку из него сделали абы как - там до сих пор заметная часть обработки ошибок - это тупо panic, что нормально для консольного приложения, но неприемлемо для библиотеки. Не говоря уж о минимуме проверок входных данных. Ещё в 2007 году этого накушался, и больше не трогаю, с тех пор в лучшую сторону оно изменилось не сильно. Благо уже есть масса альтернатив, изначально разработанных как высокопроизводительные библиотеки. Та же libvips.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #130

94. Сообщение от Аноним (88), 07-Фев-23, 09:13	–1 +/–
https://en.m.wikipedia.org/wiki/GraphicsMagick GraphicsMagick is a fork of ImageMagick, emphasizing stability of both programming API and command-line options. It was branched off ImageMagick's version 5.5.2 in 2002 То есть форк за бесплатно был сделан 20 лет назад. И даже расширение для php есть https://www.php.net/manual/en/intro.gmagick.php
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #104

95. Сообщение от 111 (??), 07-Фев-23, 09:29	–1 +/–
https://ports.macports.org/port/ImageMagick/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #102

96. Сообщение от Омномним (?), 07-Фев-23, 09:36	+/–
Ну а чего оригинальные. Взять пачку картинок, трансформировать, выдать уже совершенно отличный от исходных картинок результат, сгенерированный с 0. Взять пришедший PNG, сбросить в TIF, отправить через Asterisk факсом :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #101

97. Сообщение от Омномним (?), 07-Фев-23, 09:39	+/–
Я и грю, многие про привилегии в дыркере вообще не задумываются. Ачо, пусть рут будет. А то, что там можно вытащить какие-нибудь инфраструктурные ключи от софта под рутом - ну, это ж не баг, это фича.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

101. Сообщение от пох. (?), 07-Фев-23, 10:36	+/–
> Ну а чего оригинальные. > Взять пачку картинок, трансформировать, выдать уже совершенно отличный от исходных картинок > результат, сгенерированный с 0. прилепить к нему профиль, из оригинала, который э... оказывается не профиль. Потому что во-первых это поведение автомагическое, во-вторых в общем и целом нужны какие-то основания его проигнорировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #114

102. Сообщение от iPony129412 (?), 07-Фев-23, 10:40	–2 +/–
> https://ports.macports.org/port/ImageMagick/ Это троллинг глупостью?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

103. Сообщение от пох. (?), 07-Фев-23, 10:40	–1 +/–
>>>В пакете ImageMagick, который > На минуточку, затевался как консольная утилита для обработки изображений в консоли пользователем угу, пользователь же ж мечтает попердолиться в консоли вручную. Для того ж и консоль (а совсем не для того чтоб использовать автоматизацию подобных задач). > с правами пользователя С правами пользователя вполне читаем .ssh/id_rsa и многое другое чего. Конечно же непременно нужно это все зафигачить в фотку на документы какому-нибудь нелоху. >>>часто используется web-разработчиками для преобразования изображений > А подумать до использования им нечем они как раз используют по назначению. Но давным-давно пора было понять что назначение у конкретно этого пакета - в мусорку. Его разрабатывали в прекрасные древние дни, когда думать прежде чем пихать в код чтение первых попавшихся файлов по символьной ссылке было неположено.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #115, #116

104. Сообщение от пох. (?), 07-Фев-23, 10:43	+/–
> GraphicsMagick is a fork of ImageMagick, emphasizing stability of both programming API and без викивракеров мы бы об этом никак не догадались. > То есть форк за бесплатно был сделан 20 лет назад. И застрял на дырявом насквозь коде этой двадцатилетней давности, поэтому и с современными форматами проблемы, и ВСЕ дырки и баги оригинала, включая и нынешнюю, конечно же, унаследовал. Но вы продолжайте верить в форки от трех васянов обещавших (20 лет назад) всем-показать-как-нада.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #117

106. Сообщение от Аноним (56), 07-Фев-23, 11:41	–2 +/–
Суть в том, что ВАМНИКТОНИДОЛЖЕН. А в итоге мы имеем каличный Gimp, «готовый для десктопа» линукс, ну вот и сабж тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #111, #127, #128, #129

107. Сообщение от AKTEON (?), 07-Фев-23, 12:32	+/–
>Ага, щас... с г-ноделами все мечтают заключить контракт на доработки. ну не заключайте . Автономия воли хозяйствующих субъектов так сказать ... >ну вот ты много сам исправил? А зачем ?? Это  ж  не у меня , это у вас пароли утекают - так и пусть утекают дальше, плевать мне на то  с высокой башни на белой горе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

108. Сообщение от Аноним (108), 07-Фев-23, 12:39	+/–
Зачем ему самому-то утруждаться? Он просто может "вежливо попросить" других оставить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

110. Сообщение от Аноним (110), 07-Фев-23, 14:13	+/–
#include <stdio.h> int main() {    printf("Hello, World!");    return 0; }
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

111. Сообщение от Аноним (50), 07-Фев-23, 17:43	+/–
Суть в том, что у пользователя есть _возможность_ получить исходники. Если пользователь ей воспользовался, то даже при внезапном исчезновении вендора, остается _возможность_ исправлять ошибки в софте, обновлять зависимости, портировать, развивать и т.д. Всякие кружки по интересам, которые занимаются сопровождением и разработкой, являются лишь бонусом. "ВАМНИКТОНИДОЛЖЕН" это лишь следствие принятия лицензии по умолчанию — вы с ней согласились, вы ничего не можете требовать, это ваше решение. Никто не мешает вам заключить договор с командой проекта напрямую и выдвигать требования согласно его условиям
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

112. Сообщение от Геймер (?), 07-Фев-23, 20:33	+/–
"Профайл" - не уязвимость, а удобство в определённых случаях обработки метаданных изображений. Речь может идти не об отказе, а о дальнейшем усовершенствовании работы этой функции.
Ответить | Правка | Наверх | Cообщить модератору

113. Сообщение от Аноним (113), 07-Фев-23, 21:02	+/–
А на ImageMagick6 6.9.12.73 уязвимость не проявляется. --- official patch: https://github.com/ImageMagick/ImageMagick6/commit/3c5188b41... fixed in 6.9.12-67 --- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1030767
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #119

114. Сообщение от Омномним (?), 07-Фев-23, 22:13	+/–
Не, там собственный ICC, потому что смешение может идти из источников с разными ICC.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

115. Сообщение от Аноним (81), 08-Фев-23, 00:05	+2 +/–
Конечно, виноваты разрабы утилиты Вот про rm сразу предупредили всех, что нельзя прикручивать в вебморде без контроля входных параметров А про ImageMagick предупредить не соизволили >>для того чтоб использовать автоматизацию Разница между запуском своим скриптом или в составе самостоятельно написанной команды и выполнением от вебсервера с неконтролируемыми параметрами неочевидна?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #122

116. Сообщение от Аноним (81), 08-Фев-23, 00:10	+4 +/–
>> когда думать прежде чем пихать в код чтение первых попавшихся файлов по символьной ссылке было неположено Защита через "соглашение о не чтении данных пользователем" Тоесть писать программы надо так, чтоб не прочитать случайно что-то, что низя. А то вдруг это куда-то передастся. Трезвый хоть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #118

117. Сообщение от Аноним (88), 08-Фев-23, 00:19	+/–
Сам то ты даже этого не показал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

118. Сообщение от пох. (?), 08-Фев-23, 00:34	–1 +/–
Ну уж явно не так чтобы читая явно заданный в команде файл, ВНЕЗАПНО прочитать заодно и совершенно неожиданный, причем ни вопросов не задавая (хотя бы отдельного ключа НЕ включенного по умолчанию) ни ограничением хотя бы разумных путей не парясь, да еще воткнуть его содержимое в результат.  Тоже без шума и пыли. Причем я уверен что существует ровно НОЛЬ пользователей волшебной консоли вручную запускателей imagemagick (в принципе, можно тут точку, их уже ноль) и при этом использующих профили из внешних файлов еще и по абсолютному пути.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #120

119. Сообщение от пох. (?), 08-Фев-23, 00:44	+/–
Если функции начинающиеся с Locale то о чем я подумал (нет, не о конной е6ле на этот раз) - я стал еще худшего мнения о разработчиках этого гуана.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #125

120. Сообщение от Аноним (81), 08-Фев-23, 01:06	+2 +/–
Попробуем иначе Заменим ImageMagick на какую угодно другую утилиту Обработка .png + путь в profile Точно именно пользовательские утилиты должны следить за безопасностью пути в profile? Защищать его от чтения и записи? Не операционка? Брендмауэр какой наконец? Конечно, это зона ответственности утилит. Утилиты не должны использовать предоставленный им доступ. По-джентельменски.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #121

121. Сообщение от пох. (?), 08-Фев-23, 09:37	–3 +/–
Блин, вы тут все реально такие т-пые какими кажетесь? Или это от стекломоя по утрам? > Точно именно пользовательские утилиты должны следить за безопасностью пути в profile? а кто за них должен? Ты лезешь обрабатывать файл, в чудо-системе 70х годов где у него даже нет меток, позволяющих хотя бы предположить что его не из интернетов притащили (как есть в системах 90х) - хотя анализ таких меток тоже мало чем может помочь кроме крайних случаев. Ты его лезешь обрабатывать консольной утилитой, которая заточена на пакетное пережевывание и выхлоп которой разбирать обычно некому, даже если бы она могла что-то сказать и спросить. Ты с радостью великой ВМЕСТО того что тебе было пальцем ткнуто - лезешь открывать какие-то произвольные файлы где-то где вообще можешь до них дотянуться, без малейшего намека пользователю (вот он точно не обязан догадываться что тебе велели ресайзнуть вот ЭТО, а ты полезло хрен знает куда потому что оказывается у ЭТОГО в заголовке может быть неожиданное). > Не операционка? операционка ничего не знает о формате ср-ного png и назначении imagick. Поэтому никак не может угадать, что тому можно открывать а что лучше бы не надо. Максимум что она может - изоляцию по пользовательским id/gid, она это и делает. Чужой ssh ключ тебе не даст вот так "обработать", но как она должна различать запускаемые тобой бинарники лезущие к ТВОЕМУ? > Брендмауэр какой наконец? лолшта? Слово красивое узнал где-то? И да, вот к примеру, пользовательская утилита tar просто НЕ ДАСТ тебе распаковать /etc/passwd - пока ты явным образом не потребуешь именно этой диверсии (еще и упаковать не даст просто так). Независимо от наличия у тебя прав в операционной системе. И ../../../etc/passwd - тоже не даст - хотя для этого уже программисту пришлось проявить смекалку (на самом деле - уже после того как эту уязвимость нашли). Потому что наличие права его переписать не означает что в данный момент ты именно этого и хотел. Гораздо вероятнее что ты хотел просто распаковать архив чтобы посмотреть что там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #123, #124

122. Сообщение от пох. (?), 08-Фев-23, 09:44	+/–
Внезапно, rm this-shit не удаляет /etc/passwd - ДАЖЕ если в this-shit двести раз повторить эту строчку и даже если запустить от рута. Поэтому для нее - достаточно проверить именно входные параметры. А для имажика оказывается норм лезть в файлы по команде, найденной внутри файла. Ну местные эксперты не видят жеж разницы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

123. Сообщение от Аноним (81), 08-Фев-23, 11:46	+3 +/–
Последняя попытка) Утилита и её разработчики не несут ответствености ни за что. Утилита работает? Функции выполняет? Зашибись! Безопасное использование любой утилиты в каждой конкретной ситуации это не проблема утилиты и её авторов "Уязвимость" в этой новости - небезопасное использование утилиты идиотами. Как один из вариантов безопасного использования. https://ru.m.wikipedia.org/wiki/%D0%9A%D0... Там табличка есть удобная, "реализации", выбор есть Если ты прикручиваешь утилиту к вебсерверу, ограничения ей поставь на доступ к хосту. И всё, нет никакой уязвимости. А утилите(любой) глубоко твой ник, как её используют. И то что на вебсервере уязвимость, то в консоли функционал, ибо так задумано. Только вебмакаки ленивые, потому изоляцию не ставят и каждый день сюрпризы огребают. Повторяю: В новости проблема с вебмакаками, а не с ImageMagick. У ImageMagick тот функционал, что есть. Оно никому ничего не должно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

124. Сообщение от Аноним (81), 08-Фев-23, 11:48	+3 +/–
>>пользовательская утилита tar просто НЕ ДАСТ тебе распаковать /etc/passwd За tar искренне рад Это называется "дружелюбность" наверное и забота о юзере Такое поведение хорошо, приятно, но не обязательно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

125. Сообщение от Аноним (125), 08-Фев-23, 19:13	+/–
https://github.com/ImageMagick/ImageMagick6/blob/main/magick...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #126

126. Сообщение от пох. (?), 08-Фев-23, 19:40	+/–
Зачем вот ты меня заставил читать эту мерзость? Я же тебе не кидал ссылку про верблюда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

127. Сообщение от Аноним (88), 08-Фев-23, 23:58	+/–
Покупали бы мандриву, она бы не обанкротилась и был бы десктопный Линукс. Нет? Надо чтобы сделали хорошо и забесплатно? Покупали бы crossover office была бы совместимость с фотошопом. Нет? Ну вот и суда нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

128. Сообщение от Аноним (88), 09-Фев-23, 00:02	+/–
Нет денег сделай порт paint.net А у crossover нет программа для тестировщиков с возможностью голоса. Но ведь надо не только забесплатно, но и без усилий
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

129. Сообщение от Аноним (88), 09-Фев-23, 00:11	+/–
3.5 разработка Gimp сделали за бесплатно то что могли, на gegl его 20 лет портируют и всё никак не могут. Но они хоть что-то сделали в отличии от местных клоунов, для которых потолок это высер в комментарии
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

130. Сообщение от Анончег (?), 11-Фев-23, 10:41	+/–
"Изначально" - я его по-прежнему так и использую и далеко не сразу узнал, что есть странные люди, так его использующие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

131. Сообщение от Аноним (131), 13-Фев-23, 12:44	+/–
Дыра в imagemagick на новость уже не тянет, когда это в 50ый раз уже. Лучше объясните, что это вообще за profile в png? Почему там будет какой-то путь? Кто-нибудь в другом ПО его обрабатывает? Как это вообще должно включаться в файл, когда я файл скачаю из интернета и на моей пк не будет таких путей, как у создателя изображения?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема