专家警告流行的开源软件ImageMagick存在两个缺陷

Metabase Q 的研究人员在开源图像处理软件 ImageMagick 中发现了几个安全漏洞，这些漏洞可能导致信息泄露或触发拒绝服务 （DoS） 条件（CVE-2022-44268、CVE-2022-44267）。

ImageMagick 是一个免费的开源软件套件，用于显示、转换和编辑光栅图像和矢量图像文件。

CVE-2022-44267 漏洞是一个 DoS 问题，解析文件名为单短划线 （“-”） 的 PNG 图像时可能会触发该问题。“当 ImageMagick 解析 PNG 文件时，例如在接收图像时的调整大小操作中，转换过程可能会等待 stdin 输入导致拒绝服务，因为该过程将无法处理其他图像。 ”恶意行为者可以制作 PNG 或使用现有 PNG 并添加文本块类型（例如， tEXt）。这些类型具有关键字和文本字符串。如果关键字是字符串“profile”（不带引号），则 ImageMagick 会将文本字符串解释为文件名，并将内容加载为原始配置文件。如果指定的文件名是“-”（单破折号），ImageMagick 将尝试从标准输入中读取内容，这可能会让进程永远等待。

CVE-2022-44268漏洞是一个信息泄露缺陷，可被利用该漏洞在解析图像时从服务器读取任意文件。当软件解析PNG图像（例如，调整大小）时，生成的图像可能嵌入了任意远程文件的内容（如果ImageMagick二进制文件有权读取它）。“当 ImageMagick 解析 PNG 文件时，例如在调整大小操作中，生成的图像可能嵌入了来自网站的任意远程文件的内容（如果 magick 二进制文件有权读取它）。“恶意行为者可以制作PNG或使用现有PNG并添加文本块类型（例如tEXt）。这些类型具有关键字和文本字符串。如果关键字是字符串“profile”（不带引号），则ImageMagick会将文本字符串解释为文件名，并将内容加载为原始配置文件，然后攻击者可以下载调整大小的图像，该图像将随远程文件的内容一起提供。

为了远程利用这些问题，攻击者必须使用 ImageMagick 软件将特制图像上传到网站。攻击者可以通过插入指定某些元数据（如文件名）的文本块来制作图像，文件名必须设置为“-”才能利用。

这两个漏洞影响该软件的 ImageMagick 版本 7.1.0-49，它们已在 7 年 1 月发布的版本 0.52.2022-<> 中得到解决。像ImageMagick这样的开源库上的漏洞非常危险，可以被攻击者在野外利用。

在Mat 2016中，CloudFlare的安全研究员John Graham-Cumming断言，他的公司最近在流行的图像处理软件ImageMagick中发现了一个代号为CVE-2016-3714（或ImageTragick）的关键漏洞。

黑客可以利用该漏洞来接管运行广泛使用的图像增强应用程序的网站。ImageMagick 应用程序中的漏洞允许攻击者在依赖该应用程序来调整或裁剪用户上传图像的目标 Web 服务器上运行任意代码。

原文始发于微信公众号（黑猫安全）：专家警告流行的开源软件ImageMagick存在两个缺陷