forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в ImageMagic, позволившая получить доступ к чужим..."
Отправлено opennews, 23-Май-17 12:27

Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал (https://scarybeastsecurity.blogspot.ru/2017/05/bleed-continu...) сведения о новой уязвимости (CVE-2017-9098 (https://security-tracker.debian.org/tracker/CVE-2017-9098), кодовое имя "Yahoobleed") в пакете ImageMagick (http://www.imagemagick.org/), который часто используется web-разработчиками для преобразования изображений. Примечательно, что в
GraphicsMagick (http://www.graphicsmagick.org/), форке ImageMagic, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах, проблема осталась неисправленной в ImageMagic.

Проблема присутствует в декодировщике RLE, который использует не инициализированные блоки памяти, что позволяет атакующему получить доступ к информации, оставшейся от других обработчиков в данном процессе. Наиболее интересным моментом стала разработка практического метода атаки на основе данной проблемы. Крис Эванс показал, что уязвимость можно использовать для атаки на сервис Yahoo Mail для получения доступа к вложениям чужих писем через отправку письма со специально оформленной картинкой во вложении.

При организации предпросмотра вложений Yahoo применяет постоянно запущенный обработчик, который использует ImageMagic для обработки изображений, что позволяет через эксплуатацию рассматриваемой уязвимости получить доступ к данным, оставшимся от обработки вложений других пользователей. В частности, Крис отправил себе письмо со специально оформленным 18-байтовым изображением, для предпросмотра которого через web-интерфейс было сформировано JPEG-изображение 1024x1024, состоящее из данных, остающихся в памяти после обработки вложений других пользователей.
Компания Yahoo выплатила исследователю вознаграждение в размере 28 тысяч долларов и приняла решение прекратить использование пакета ImageMagic в своих службах. Проблема устранена (https://github.com/ImageMagick/ImageMagick/commit/1c358ffe00...) в ImageMagick 7.0.5-2 и GraphicsMagick 1.3.24. Обновления в дистрибутивах ещё не выпущены, проследить за их появлением можно на данных страницах: Debian (https://security-tracker.debian.org/tracker/CVE-2017-9098), SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-9098), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-9098), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1453125), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2...), FreeBSD (http://www.vuxml.org/freebsd/).
Следует отметить, что проблема представляет опасность только в длительно работающих процессах, циклично обрабатывающих запросы.

URL: http://openwall.com/lists/oss-security/2017/05/20/1
Новость: https://www.opennet.ru/opennews/art.shtml?num=46584

Исходное сообщение
"Уязвимость в ImageMagic, позволившая получить доступ к чужим..." Отправлено opennews, 23-Май-17 12:27
Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного FTP-сервера vsftpd, опубликовал (https://scarybeastsecurity.blogspot.ru/2017/05/bleed-continu...) сведения о новой уязвимости (CVE-2017-9098 (https://security-tracker.debian.org/tracker/CVE-2017-9098), кодовое имя "Yahoobleed") в пакете ImageMagick (http://www.imagemagick.org/), который часто используется web-разработчиками для преобразования изображений. Примечательно, что в GraphicsMagick (http://www.graphicsmagick.org/), форке ImageMagic, уязвимость была устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий по устранению уязвимостей в обоих проектах, проблема осталась неисправленной в ImageMagic. Проблема присутствует в декодировщике RLE, который использует не инициализированные блоки памяти, что позволяет атакующему получить доступ к информации, оставшейся от других обработчиков в данном процессе. Наиболее интересным моментом стала разработка практического метода атаки на основе данной проблемы. Крис Эванс показал, что уязвимость можно использовать для атаки на сервис Yahoo Mail для получения доступа к вложениям чужих писем через отправку письма со специально оформленной картинкой во вложении. При организации предпросмотра вложений Yahoo применяет постоянно запущенный обработчик, который использует ImageMagic для обработки изображений, что позволяет через эксплуатацию рассматриваемой уязвимости получить доступ к данным, оставшимся от обработки вложений других пользователей. В частности, Крис отправил себе письмо со специально оформленным 18-байтовым изображением, для предпросмотра которого через web-интерфейс было сформировано JPEG-изображение 1024x1024, состоящее из данных, остающихся в памяти после обработки вложений других пользователей. Компания Yahoo выплатила исследователю вознаграждение в размере 28 тысяч долларов и приняла решение прекратить использование пакета ImageMagic в своих службах. Проблема устранена (https://github.com/ImageMagick/ImageMagick/commit/1c358ffe00...) в ImageMagick 7.0.5-2 и GraphicsMagick 1.3.24. Обновления в дистрибутивах ещё не выпущены, проследить за их появлением можно на данных страницах: Debian (https://security-tracker.debian.org/tracker/CVE-2017-9098), SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-9098), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-9098), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1453125), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2...), FreeBSD (http://www.vuxml.org/freebsd/). Следует отметить, что проблема представляет опасность только в длительно работающих процессах, циклично обрабатывающих запросы. URL: http://openwall.com/lists/oss-security/2017/05/20/1 Новость: https://www.opennet.ru/opennews/art.shtml?num=46584

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Крис Эванс (Chris Evans), известный эксперт по компьютерной безопасности и автор защищенного 
> FTP-сервера vsftpd, опубликовал (https://scarybeastsecurity.blogspot.ru/2017/05/bleed-continues-18-byte-file-14k-bounty.html) 
> сведения о новой уязвимости (CVE-2017-9098 (https://security-tracker.debian.org/tracker/CVE-2017-9098), 
> кодовое имя "Yahoobleed") в пакете ImageMagick (http://www.imagemagick.org/), который 
> часто используется web-разработчиками для преобразования изображений. Примечательно, 
> что в 
> GraphicsMagick (http://www.graphicsmagick.org/), форке ImageMagic, уязвимость была 
> устранена ещё в марте 2016 года, но из-за отсутствия скоординированных действий 
> по устранению уязвимостей в обоих проектах, проблема осталась неисправленной в ImageMagic.

> Проблема присутствует в декодировщике RLE, который использует не инициализированные блоки 
> памяти, что позволяет атакующему получить доступ к информации, оставшейся от других 
> обработчиков в данном процессе. Наиболее интересным моментом стала разработка практического 
> метода атаки на основе данной проблемы. Крис Эванс показал, что уязвимость 
> можно использовать для атаки на сервис Yahoo Mail для получения доступа 
> к вложениям чужих писем через отправку письма со специально оформленной картинкой 
> во вложении.

> При организации предпросмотра вложений Yahoo применяет постоянно запущенный обработчик, 
> который использует ImageMagic для обработки изображений, что позволяет через эксплуатацию 
> рассматриваемой уязвимости получить доступ к данным, оставшимся от обработки вложений 
> других пользователей. В частности, Крис отправил себе письмо со специально оформленным 
> 18-байтовым изображением, для предпросмотра которого через web-интерфейс было сформировано 
> JPEG-изображение 1024x1024, состоящее из данных, остающихся в памяти после обработки вложений 
> других пользователей.

> Компания Yahoo выплатила исследователю вознаграждение в размере 28 тысяч долларов и приняла 
> решение прекратить использование пакета ImageMagic в своих службах. Проблема устранена 
> (https://github.com/ImageMagick/ImageMagick/commit/1c358ffe0049f768dd49a8a889c1cbf99ac9849b) 
> в ImageMagick  7.0.5-2 и GraphicsMagick 1.3.24. Обновления в дистрибутивах ещё 
> не выпущены, проследить за их появлением можно на данных страницах: Debian 
> (https://security-tracker.debian.org/tracker/CVE-2017-9098), SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-9098), 
> RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-9098), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1453125), 
> Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-9098.html), 
> FreeBSD (http://www.vuxml.org/freebsd/).

> Следует отметить, что проблема представляет опасность только в длительно работающих процессах, 
> циклично обрабатывающих запросы.

> URL: http://openwall.com/lists/oss-security/2017/05/20/1 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=46584

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру