 fox
II/IDEC networks :: lor-opennet.15 :: / Ещё одна критическая уязвимость в ImageMagick
|
Login |
[#]
Ещё одна критическая уязвимость в ImageMagick
Новостной_робот(mira, 1) — All
2016-05-30 20:00:05
В ImageMagick и GraphicMagick обнаружена ещё одна уязвимость (CVE-2016-5118), приводящая к выполнению произвольных shell-команд при обработке файлов со специальными именами. Уязвимость заключается в отсутствии проверки имени файлов на наличие недопустимых символов:% rm -f hello.txt % convert '|echo Hello > hello.txt;' null: % ls hello.txt hello.txt Как и в случае с [ предыдущей уязвимостью ]( https://www.linux.org.ru/news/security/12568849 ) , возможна атака с помощью специально сформированных SVG-файлов (которые позволяют указывать внутри себя ссылки на другие файлы):xlink:href="|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png">
Ссылка: http://www.linux.org.ru/news/security/12630654
Новостной_робот(mira, 1) — All
2016-05-30 20:00:05
В ImageMagick и GraphicMagick обнаружена ещё одна уязвимость (CVE-2016-5118), приводящая к выполнению произвольных shell-команд при обработке файлов со специальными именами. Уязвимость заключается в отсутствии проверки имени файлов на наличие недопустимых символов:% rm -f hello.txt % convert '|echo Hello > hello.txt;' null: % ls hello.txt hello.txt Как и в случае с [ предыдущей уязвимостью ]( https://www.linux.org.ru/news/security/12568849 ) , возможна атака с помощью специально сформированных SVG-файлов (которые позволяют указывать внутри себя ссылки на другие файлы):xlink:href="|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png">
Ссылка: http://www.linux.org.ru/news/security/12630654