Ir para o conteúdo

Espírito Livre

Voltar a Blog
Tela cheia

Vulnerabilidades no ImageMagick colocam em risco sites que recebem imagens dos usuários

7 de Maio de 2016, 13:31 , por Revista Espírito Livre - | No one following this article yet.
Visualizado 63 vezes

Imagemagick-logo

O clássico ImageMagick tem uma série de vulnerabilidades que permitem a execução de código arbitrário enviado pelo usuário, e exploits tirando proveito delas já estão circulando.

Muitas das operações de redimensionamento ou processamento de imagens recebidas de usuários para publicação em sites, fóruns, blogs e outros serviços on-line são providas pelo ImageMagick ou outros softwares construídos sobre ele (bibliotecas variadas em PHP, Ruby, node.js e mais).

Mesmo na ausência de uma correção para as falhas do código (no momento em que escrevo esta notícia, ao menos), ao menos duas estratégias de mitigação estão apontadas no site ImageTragick, e uma delas é relativamente fácil de operacionalizar, desativando alguns recursos da ferramenta por meio da inclusão de algumas linhas no seu arquivo policy.xml.

Com informações de Ars Technica, ImageTragick e Br-Linux.


Fonte: http://www.revista.espiritolivre.org/vulnerabilidades-no-imagemagick-colocam-em-risco-sites-que-recebem-imagens-dos-usuarios/