Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал (https://scarybeastsecurity.blogspot.ru/2017/05/bleed-continu...) сведения о новой уязвимости (CVE-2017-9098 (https://security-tracker.debian.org/tracker/CVE-2017-9098), кодовое имя "Yahoobleed") в пакете ImageMagick (http://www.imagemagick.org/), который часто используется web-разработчиками для преобразования изображений. Примечательно, что в
GraphicsMagick (http://www.graphicsmagick.org/), форке ImageMagic, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах, проблема осталась неисправленной в ImageMagic.
Проблема присутствует в декодировщике RLE, который использует не инициализированные блоки памяти, что позволяет атакующему получить доступ к информации, оставшейся от других обработчиков в данном процессе. Наиболее интересным моментом стала разработка практического метода атаки на основе данной проблемы. Крис Эванс показал, что уязвимость можно использовать для атаки на сервис Yahoo Mail для получения доступа к вложениям чужих писем через отправку письма со специально оформленной картинкой во вложении.
При организации предпросмотра вложений Yahoo применяет постоянно запущенный обработчик, который использует ImageMagic для обработки изображений, что позволяет через эксплуатацию рассматриваемой уязвимости получить доступ к данным, оставшимся от обработки вложений других пользователей. В частности, Крис отправил себе письмо со специально оформленным 18-байтовым изображением, для предпросмотра которого через web-интерфейс было сформировано JPEG-изображение 1024x1024, состоящее из данных, остающихся в памяти после обработки вложений других пользователей.
Компания Yahoo выплатила исследователю вознаграждение в размере 28 тысяч долларов и приняла решение прекратить использование пакета ImageMagic в своих службах. Проблема устранена (https://github.com/ImageMagick/ImageMagick/commit/1c358ffe00...) в ImageMagick 7.0.5-2 и GraphicsMagick 1.3.24. Обновления в дистрибутивах ещё не выпущены, проследить за их появлением можно на данных страницах: Debian (https://security-tracker.debian.org/tracker/CVE-2017-9098), SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-9098), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-9098), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1453125), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2...), FreeBSD (http://www.vuxml.org/freebsd/).
Следует отметить, что проблема представляет опасность только в длительно работающих процессах, циклично обрабатывающих запросы.
URL: http://openwall.com/lists/oss-security/2017/05/20/1
Новость: https://www.opennet.ru/opennews/art.shtml?num=46584