BR-Linux.org

As vulnerabilidades recentes do ImageMagick lembram bastante a década de 1990. Não por coincidência, esse popular utilitário tem 25 anos: a versão inicial é de agosto de 1990.

A novidade deste domingo (que talvez já venha sendo explorada discretamente há anos, já que o ImageMagick está por trás da conversão de tamanho e formato de imagens de muitos serviços online) é um bug que permite executar um comando arbitrário da shell passado como parâmetro no lugar do nome de um arquivo, precedido por um símbolo de pipe, como no exemplo:

convert '|echo teste > /tmp/teste.txt;' null:

Na versão do ImageMagick instalada no meu desktop, o comando acima retorna erro, mas o arquivo /tmp/teste.txt é criado, tendo a palavra "teste" como seu conteúdo. Outros comandos ao alcance do usuário que rodar o ImageMagick podem não ser tão inofensivos...

Um patch simples (que desabilita o recurso de abertura de pipes, no qual está o bug) acompanha a descrição do bug, no link abaixo.

(via seclists.org - “oss-sec: CVE Request: GraphicsMagick and ImageMagick popen() shell vulnerability via filename”)