Страница 1 из 1
[Решено] Критическая уязвимость в ImageMagick
Добавлено: 06 июн 2016, 20:02
Delles
Сообщение об уязвимости:
http://www.linux.org.ru/news/security/12630654
Насколько я понимаю, баг опасен для серверов; вероятность, что на частном компе кто-то извне подсунет svg-эксплойт, невелика. Но всё равно, дело чести. В cld уже пофиксили:
Код: Выделить всё
$ rm -f hello.txt
$ convert '|echo Hello > hello.txt;' null:
convert: unable to open image `|echo Hello > hello.txt;': Нет такого файла или каталога @ error/blob.c/OpenBlob/2705.
convert: no decode delegate for this image format `TXT;' @ error/constitute.c/ReadImage/504.
convert: no images defined `null:' @ error/convert.c/ConvertImageCommand/3257.
$ ls hello.txt
ls: невозможно получить доступ к hello.txt: Нет такого файла или каталога
$
Re: Критическая уязвимость в ImageMagick
Добавлено: 06 июн 2016, 20:13
Алзим
Вы особо не спешите.
Я обновил не до самой новой версии. Хотя, по датам они идут одинаково.
Может быть разрабы поставят самую новую и проверят всё.
Хорошо, что вы написали. Им есть куда «копать». Но они могут всё изменить в моей версии.
Но, в любом случае, новый ImageMagick просто так пользователям не попадёт.
Его сначала поставит себе собирающий (разработчик). Проверит на своём компе. Потом отправит на QA. Потом пойдёт на тестирование. И только потом появиться в оф.репозитории.
Про ошибки пишите. Они прочитают.
У меня на компе сервер стоит. И я тоже за такими прогами смотрю.
Re: Критическая уязвимость в ImageMagick
Добавлено: 06 июн 2016, 20:55
Delles
В mj тоже пофиксили:
Код: Выделить всё
$ rm -f hello.txt
$ convert '|echo Hello > hello.txt;' null:
convert: unable to open image `|echo Hello > hello.txt;': Нет такого файла или каталога @ error/blob.c/OpenBlob/2705.
convert: no decode delegate for this image format `TXT;' @ error/constitute.c/ReadImage/504.
convert: no images defined `null:' @ error/convert.c/ConvertImageCommand/3257.
$ ls hello.txt
ls: невозможно получить доступ к 'hello.txt': Нет такого файла или каталога
$
Re: Критическая уязвимость в ImageMagick
Добавлено: 06 июн 2016, 21:05
Алзим
Я сейчас в РОСЕ повторил ваши команды.
Или надо было что-то по другому делать?
Re: Критическая уязвимость в ImageMagick
Добавлено: 06 июн 2016, 21:35
Delles
Алзим писал(а):Я сейчас в РОСЕ повторил ваши команды.
Или надо было что-то по другому делать?
Ваш вывод говорит о том, что баг пофиксен. А у меня почему-то нет.
Код: Выделить всё
$ rm -f hello.txt
$ convert '|echo Hello > hello.txt;' null:
convert: no decode delegate for this image format `TXT;' @ error/constitute.c/ReadImage/501.
convert: no images defined `null:' @ error/convert.c/ConvertImageCommand/3230.
$ ls hello.txt
hello.txt
$
Я поставил вот эти пакеты:
Код: Выделить всё
imagemagick-6.9.4.7-1-rosa2014.1.x86_64.rpm 06-Jun-2016 16:10 975141
imagemagick-desktop-6.9.4.7-1-rosa2014.1.x86_64..> 06-Jun-2016 16:10 13905
imagemagick-doc-6.9.4.7-1-rosa2014.1.noarch.rpm 06-Jun-2016 16:10 5345653
Нужно было что-то еще?
Re: Критическая уязвимость в ImageMagick
Добавлено: 06 июн 2016, 21:36
Delles
А, уже вижу — либы. Сейчас доустановлю их.
Re: Критическая уязвимость в ImageMagick
Добавлено: 06 июн 2016, 21:40
Алзим
Delles писал(а):
Нужно было что-то еще?
Я не знаю. Я пересобрал дополнительно в контейнеры:
i586 —
http://abf-downloads.rosalinux.ru/alzim ... n/release/
x86_64 —
http://abf-downloads.rosalinux.ru/alzim ... n/release/
У меня стоит это. Скрин я скинул выше. У меня нормально.
Re: Критическая уязвимость в ImageMagick
Добавлено: 06 июн 2016, 21:44
Delles
А, теперь отлично:
Код: Выделить всё
# rpm -Uvh --force imagemagick-6.9.4.7-1-rosa2014.1.x86_64.rpm imagemagick-desktop-6.9.4.7-1-rosa2014.1.x86_64.rpm imagemagick-doc-6.9.4.7-1-rosa2014.1.noarch.rpm lib64Magick++6.Q16_6-6.9.4.7-1-rosa2014.1.x86_64.rpm lib64MagickCore6.Q16_2-6.9.4.7-1-rosa2014.1.x86_64.rpm lib64MagickWand6.Q16_2-6.9.4.7-1-rosa2014.1.x86_64.rpm
Подготовка... ########################################### [100%]
Переупаковка...
1:lib64Magick++6.Q16_6 ########################################### [ 33%]
2:lib64MagickWand6.Q16_2 ########################################### [ 67%]
3:lib64MagickCore6.Q16_2 ########################################### [100%]
Обновление...
1:lib64MagickCore6.Q16_2 ########################################### [ 17%]
2:imagemagick-doc ########################################### [ 33%]
3:imagemagick-desktop ########################################### [ 50%]
4:lib64MagickWand6.Q16_2 ########################################### [ 67%]
5:lib64Magick++6.Q16_6 ########################################### [ 83%]
6:imagemagick ########################################### [100%]
# exit
$ rm -f hello.txt
$ convert '|echo Hello > hello.txt;' null:
convert: unable to open image `|echo Hello > hello.txt;': Нет такого файла или каталога @ error/blob.c/OpenBlob/2705.
convert: no decode delegate for this image format `TXT;' @ error/constitute.c/ReadImage/504.
convert: no images defined `null:' @ error/convert.c/ConvertImageCommand/3257.
$ ls hello.txt
ls: невозможно получить доступ к hello.txt: Нет такого файла или каталога
$
Заткнули пробоину. Большое спасибо!
Re: Критическая уязвимость в ImageMagick
Добавлено: 06 июн 2016, 21:51
Алзим
Можно было бы просто контейнер установить как репозиторий. Обновиться, а потом контейнер-репозиторий удалить.
Но, главное не в этом. Главное, что дыры залатали и мы это проверили.
Теперь осталось чтобы разработчики увидели и добавили в оф.репы. А то будет как обычно — у меня (и теперь у вас) это есть, а остальные увидят нескоро.
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 07 июн 2016, 04:56
keleg
Видим-видим, не беспокойтесь.
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 07 июн 2016, 13:23
Delles
Занятно, что супер-пупер-секьюрный опёнок фиксить этот баг не спешит. Похоже, считают, что особой опасности он не содержит.
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 07 июн 2016, 13:42
Алзим
Delles писал(а):Занятно, что супер-пупер-секьюрный опёнок фиксить этот баг не спешит. Похоже, считают, что особой опасности он не содержит.
Может просто возможности нет. Не успевают.
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 07 июн 2016, 15:50
trs
Да какая там опасность? Она в том, что проследовавшие по ссылкам увидят, что Google со своими Ads достиг уровня продавцов заморской тушенки?
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 07 июн 2016, 15:54
Delles
trs писал(а):Да какая там опасность? Она в том, что проследовавшие по ссылкам увидят, что Google со своими Ads достиг уровня продавцов заморской тушенки?
Я так понял, что в код svg можно засунуть любую команду, которую convert передаст шеллу, и она будет отработана так же, как отрабатывается echo на примере. Разве нет?
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 07 июн 2016, 16:18
trs
Неизвестность кого-нибудь может испугать, на то и расчёт. Параллельно с малопонятными для масс деталями уязвимости показывают мусорные баннеры (кто-то ж их оплатил? бумаги неликвидной накопилось, пытаются продать).
keleg написал же - не беспокойтесь.
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 07 июн 2016, 16:43
Delles
Беспокоиться, конечно, не нужно. Но баг есть, факт. Можно, например, снести весь дом.
Код: Выделить всё
$ ls
Desktop/ Документы/ Изображения/ Общедоступные/
Видео/ Загрузки/ Музыка/ Шаблоны/
$ convert '|rm -fr *;' null:
convert: no decode delegate for this image format `' @ error/constitute.c/ReadImage/501.
convert: no images defined `null:' @ error/convert.c/ConvertImageCommand/3230.
$ ls
$
Баннеры я, кстати, смотреть не ходил.
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 07 июн 2016, 19:50
notauser
Delles писал(а):Занятно, что супер-пупер-секьюрный опёнок фиксить этот баг не спешит. Похоже, считают, что особой опасности он не содержит.
http://mirror.yandex.ru/pub/OpenBSD/Cha ... /ChangeLog
http://openbsd.cs.nctu.edu.tw/faq/ru/faq15.html#Ports
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 07 июн 2016, 19:57
notauser
trs писал(а):Неизвестность кого-нибудь может испугать, на то и расчёт. Параллельно с малопонятными для масс деталями уязвимости показывают мусорные баннеры (кто-то ж их оплатил? бумаги неликвидной накопилось, пытаются продать).
keleg написал же - не беспокойтесь.
magick написал примерно то же самое
http://www.imagemagick.org/discourse-se ... 18#p134399
C GraphicsMagick еще интереснее.
Я только не понял что, где и кто показывает? А так да - это фича, а не баг.
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 07 июн 2016, 20:34
Delles
15.4.6 - Что я должен использовать: пакеты или порты?
Мы настоятельно советуем для установки приложений использовать пакеты, а не порты. Команда разработчиков портов OpenBSD полагает, что конечным результатом их работы будут пакеты, а не непосредственное применение портов.
Когда проблема считается серьезной, пакет тоже обновляется, не только порты.
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 07 июн 2016, 23:09
notauser
Да? Прямо в "используемой" Вами ветке?
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 07 июн 2016, 23:44
Delles
notauser писал(а):Да? Прямо в "используемой" Вами ветке?
В политику ветки не вникал, но с обновлением пакетов в …/packages/… сталкивался.
Но это уже совсем оффтоп получается.
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 08 июн 2016, 04:02
keleg
между тем обновление улетело в тестовые репы, можно проверять!
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 08 июн 2016, 05:49
trs
notauser писал(а):
Я только не понял что, где и кто показывает?
Сайт seclists.org, на который ссылается LOR как на источник, помимо рекламы аудита (это можно понять) показывал баннеры со сплетнями, не только дискредитируя новость, но и причисляя себя к (второй) самой древней профессии.
Delles писал(а): баг есть, факт.
Разница между "багом" и "удалённым выполнением кода" вряд ли меньше, чем между safety и security. По-русски эти два буржуйских слова означают "безопасность", но ценник на них специалисты вешают сильно разный. Это надо понять... и простить
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 08 июн 2016, 12:42
Delles
У меня при полном обновлении с подключенными тестовыми репо imagemagick и его либы были проигнорированы. Видимо, потому, что они тождественны пакетам, собранным Алзимом, которые я установил ранее.
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 08 июн 2016, 12:56
Алзим
Delles писал(а):Видимо, потому, что они тождественны пакетам, собранным Алзимом, которые я установил ранее.
Да. В тестовых репах аналогичная сборка. Там ничего не изменено.
Re: [Решено] Критическая уязвимость в ImageMagick
Добавлено: 08 июн 2016, 13:00
Delles
trs писал(а):Разница между "багом" и "удалённым выполнением кода"…
По большому счету, Much Ado About Nothing, как я сразу и написал: на нормальных серверах конверсии виртуализированы, а на персональном компе нужно слишком маловероятное стечение обстоятельств, чтобы вляпаться. Но всё равно приятно, что пофиксили.