Visite também: UnderLinux ·  Dicas-L ·  SoftwareLivre.org ·  [mais] ·  Currículo ·  Efetividade ·  Arduino

ImageTragick: Vulnerabilidades no ImageMagick colocam em risco sites que recebem imagens dos usuários

O clássico ImageMagick tem uma série de vulnerabilidades que permitem a execução de código arbitrário enviado pelo usuário, e exploits tirando proveito delas já estão circulando.

Muitas das operações de redimensionamento ou processamento de imagens recebidas de usuários para publicação em sites, fóruns, blogs e outros serviços on-line são providas pelo ImageMagick ou outros softwares construídos sobre ele (bibliotecas variadas em PHP, Ruby, node.js e mais).

Mesmo na ausência de uma correção para as falhas do código (no momento em que escrevo esta notícia, ao menos), ao menos duas estratégias de mitigação estão apontadas no site ImageTragick, e uma delas é relativamente fácil de operacionalizar, desativando alguns recursos da ferramenta por meio da inclusão de algumas linhas no seu arquivo policy.xml.

(via arstechnica.com - “Huge number of sites imperiled by critical image-processing vulnerability | Ars Technica”)

Comentar

 
comments powered by Disqus

Comentários arquivados