Como verificar a instalação do ImageMagick não é vulnerável a CVE-2016-3714

3

CVE-2016-3714 foi anunciado em 3 de maio de 2016. Esta vulnerabilidade infelizmente atende pelo nome, ImageTragick e recebeu alguma pressão (por exemplo, este artigo da ArsTechnica ).

Até que os pacotes ImageMagick atualizados sejam lançados em breve, precisamos de uma solução alternativa. A solução alternativa é bastante direta. Basta usar um arquivo de políticas para desativar os codificadores vulneráveis. O arquivo de políticas deve ser parecido com isto:

<policymap>
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
</policymap>

Se um sysadmin tiver instalado o arquivo policy.xml mostrado acima, como eles iriam independentemente de confirmar que a instalação do ImageMagick não está mais vulnerável?

    
por ChrisInEdmonton 04.05.2016 / 15:54

1 resposta

2

Karim Valiev postou informações na lista de discussão oss-security, mostrando como verificar a instalação local do ImageMagick para ver se está vulnerável.

Crie um arquivo chamado exploit.mvg com o seguinte conteúdo:

push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|ls "-la)'
pop graphic-context

Em seguida, execute o utilitário de conversão:

$ convert exploit.mvg out.png

Se você vir uma listagem de diretório local, sua instalação do ImageMagick não é não suficientemente protegida.

    
por 04.05.2016 / 18:52