ImageMagick 任意文件读取漏洞
(CVE-2022-44268)
2月2日,国外安全团队 Metabase Q 发布博客,披露了存在于 ImageMagick 中的两个漏洞 CVE-2022-44267 和 CVE-2022-44268。其中 CVE-2022-44267 拒绝服务漏洞,CVE-2022-44268 为远程信息泄露任意文件读取漏洞:
https://www.metabaseq.com/imagemagick-zero-days/
漏洞描述
从漏洞形成原理来看,CVE-2022-44267、CVE-2022-44268 实际上是同一个漏洞,均是由于 ImageMagick 在解析 PNG 图像时代码处理不当而导致的。
攻击者可构造一个恶意的 PNG 文件,此 PNG 文件包含一个文本类型的 chunk(比如 tEXt),其中包含 profile 关键字段。当网站或应用使用 ImageMagick 对攻击者恶意上传的图像文件进行解析时就会触发漏洞。
攻击者若构造 profile 字段的值为“-”就会造成 ImageMagick 进程僵死;而若构造 profile 字段的值为系统文件路径时(如 /etc/passwd),ImageMagick 就会读取对应的文件内容并编码到转换出来的图像文件中,最终可能造成信息泄露、任意文件读取的危害(攻击者能否读取到文件内容,取决于网站应用本身是否将 ImageMagick 转换处理后的图像提供给用户访问)。
影响范围
ImageMagick 官方在 7.1.0-52 版本中针对该漏洞进行了修复,但目前官方并没有相关公告说明漏洞的影响版本范围等具体信息。
我们经过漏洞分析复现后确认以下版本的 ImageMagick 在默认配置下均可能受到漏洞影响:
-
ImageMagick 7.1.x <= 7.1.0-51
-
ImageMagick 7.0.x
-
ImageMagick 6.9.x
-
ImageMagick 6.8.3-10 <= 6.8.x <= 6.8.9-10
解决方案
ImageMagick 在 7.1.0-52 版本针对此漏洞进行了修复,用户可通过更新至 7.1.0-52 或最新版本进行漏洞修复。
参考资料
-
https://www.metabaseq.com/imagemagick-zero-days/ -
https://github.com/ImageMagick/ImageMagick/commit/05673e63c919e61ffa1107804d1138c46547a475
原文始发于微信公众号(长亭技术沙盒):漏洞风险提示 | ImageMagick 任意文件读取漏洞(CVE-2022-44268)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论