1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Множество уязвимостей в ImageMagick, одна из которых ведёт к RCE

Тема в разделе "Новости информационной безопасности", создана пользователем akok, 4 май 2016.

  1. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.771
    Симпатии:
    14.799
    Несколько часов назад Ryan Huber из отдела безопасности Slack анонсировал некую критическую уязвимость в софте, используемом множеством сайтов. Этим софтом оказался ImageMagick — популярный пакет для обработки изображений.


    Краткая информация об уязвимостях размещена на сайте imagetragick.com. Да, без названия и сайта для уязвимости не обошлось и в этот раз, хотя изначально Райан писал, что никакого пафоса, включая название и сайт, не будет. (есть ещё и твиттер)


    [​IMG]


    Уязвимость была обнаружена stewie и раскрыта на hackerone 21 апреля в репорте, по всей видимости, Mail.ru, ибо примерно через неделю после этого Николай Ермишкин из команды безопасности Мэйла нашёл возможность выполнить RCE. Обо всём этом, само собой, сообщили команде разработки IM. Те 30 апреля выпустили фикс, но уже 1 мая им сообщили, что фикс немножко не фикс. Поэтому 2 мая уязвимость раскрыли в листе рассылки разработчиков пакетов, основанных на IM, а 3 мая уязвимость раскрыли публично. Спустя несколько часов после этого на openwall появилось подробное описание с примерами эксплойтов. Но об этом чуть ниже.


    Прежде всего, стоит заметить, что ваш сайт (вероятно) подвержен этим уязвимостям не только если вы используете IM напрямую, но и через различные пакеты, включая imagick в PHP, rmagick и paperclip в Ruby и imagemagick в nodejs.


    Как защититься?

    Для того, чтобы хоть как-то защититься, предлагается сделать хотя бы одну из двух следующих вещей (а лучше — обе).


    • прежде, чем отправить изображение на обработку в IM, проверить его «магические байты» — последовательность байт, по которой программы определяют формат файла. Да, расширение может не играть никакой роли, так как IM сам определяет формат именно по этой последовательности.
    • включить конфиг, отключающий подверженные уязвимостям декодеры. Файл должен выглядеть примерно так

    Код (XML):
    <policymap>
      <policy domain="coder" rights="none" pattern="EPHEMERAL" />
      <policy domain="coder" rights="none" pattern="URL" />
      <policy domain="coder" rights="none" pattern="HTTPS" />
      <policy domain="coder" rights="none" pattern="MVG" />
      <policy domain="coder" rights="none" pattern="MSL" />
    </policymap>
    Конфиги для IM обычно лежат в /etc/ImageMagick. Для ansible напилили playbook, добавляющий этот конфиг.


    Как уже говорилось выше, патч к IM уже готов, но он неполный. Дело в том, что, как отмечают исследователи, уязвимость была найдена хакерами ранее и уже вовсю эксплуатируется.

    Подробности уязвимостей и эксплуатация
     
    Последнее редактирование модератором: 4 май 2016
    Кирилл, Dragokas и orderman нравится это.
  2. SNS-amigo

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.217
    Симпатии:
    8.913
    В продолжение темы...

    Проблема, получившая в начале мая название ImageTragick, и описанная постом выше, позволяет удаленное выполнение кода при обработке специально сформированных изображений. Информация об уязвимости стала доступна посторонним лицам до обнародования проблемы, и в настоящее время эксплойты к уязвимости активно используются злоумышленниками.

    Исследователи компаний CloudFlare и Sucuri обнаружили ряд различных эксплойтов, применяющихся киберпреступниками для разведывательных целей и получения доступа к уязвимым вебсерверам. В одном случае злоумышленники использовали бот для обнаружения потенциальных объектов атаки. Далее они отправляли на первый взгляд безобидный файл JPEG, на деле содержащий шелл-код.

    Подробнее:
     
    Последнее редактирование: 11 май 2016
    Кирилл и Охотник нравится это.
Загрузка...
Похожие темы - Множество уязвимостей ImageMagick
  1. Candellmans
    Ответов:
    0
    Просмотров:
    413
  2. Candellmans
    Ответов:
    0
    Просмотров:
    671
  3. Severnyj
    Ответов:
    0
    Просмотров:
    503
  4. Severnyj
    Ответов:
    0
    Просмотров:
    1.128
  5. Severnyj
    Ответов:
    0
    Просмотров:
    893

Поделиться этой страницей