Заметка Уязвимости библиотеки ImageMagick угрожают миллионам сайтов

SOUL

АдминкА
Администратор
Сообщения
7.298
Симпатии
10.553
Баллы
266
#1
Используемый миллионами веб-сайтов инструмент обработки изображений содержал в себе ряд критических уязвимостей, способных дать хакерам доступ к веб-серверам. Эксплоиты для этих уязвимостей уже созданы, в отличие от патчей. Обнаружил уязвимости Николая Ермишкин из команды безопасности Mail.Ru, об их существовании уже были поставлены в известность разработчики ImageMagick, попытавшиеся выпустить патч в версии 6.9.3-9 30 апреля. Патч оказался неполным и уязвимости по-прежнему существуют.

Есть сведения о том, что кроме исследователей и разработчиков из ImageMagick о существовании уязвимостей известно и другим людям. Уязвимости можно задействовать для загрузки вредоносных изображений на использующие ImageMagick сайты. Далее становится возможным удалённое выполнение кода, распространение вредоносного ПО, кража данных пользователей и взлом доменов.

imagetragick_xenforotest_ru.jpg
ImageMagick представляет собой утилиту командной строки для создания, редактирования и конвертации файлов изображений во множестве форматов. Её библиотека служит базой для плагинов вроде PHP imagick, Ruby rmagick и papercli, Node.js imagemagick. Исследователи в качестве доказательства разработали собственный эксплоит.

Набор уязвимостей получил название ImageTragick, был создан

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

с советами для разработчиков и администраторов сайтов, которым необходимо следовать, пока не появится патч.

Источник:

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.



Статьи на Хабре и Хакере об этой проблеме:


Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.



Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

 

ROOT

Пользователь
Сообщения
0
Симпатии
49
Баллы
12
#2
Ну теперь и до этого добрались :) отключайте компы, удаляйте сайты и сидите по норам, а то как бы чего не вышло :) Жить вообще опасно
 

next

Пользователь
Сообщения
108
Симпатии
79
Баллы
28
#3
ROOT, Сегодня пошутил, завтра кто-то заюзал уязвимость и слил бэкап в паблик, весело тоже будет? С этим шутки плохи, бегом фиксить :Tongue:
 

ROOT

Пользователь
Сообщения
0
Симпатии
49
Баллы
12
#4
А с чего вы верите тем людям, которые предлагают фиксить уязвимость, может как раз они и хотят с помощью своих патчей внедрить шпионское ПО на сайты.

По большому счету так и делается, создается шумиха вокруг чего то популярного, и предлагаются лечения или просто конкурентная борьба. next, вот ты например, не взирая на плохие отзывы о фрикассе, установил ее. :)

Проблемы надо решать по мере их поступления, всего предугадать не возможно, а слушать все надо 50/50 и делать только свои выводы.
А слить бекап могут и без имадж.
 
Последнее редактирование:

next

Пользователь
Сообщения
108
Симпатии
79
Баллы
28
#5
А с чего вы верите тем людям, которые предлагают фиксить уязвимость
habrahabr.ru авторитетный ресурс. Сейчас статья на стадии правок и дополнений, люди проверяют, отписывают.

не взирая на плохие отзывы о фрикассе, установил ее.
Видел платежные агрегаторы/кассы и т.д без плохих отзывов? Такого нет, негатив есть везде.
плохие отзывы о фрикассе
90% на магазины, которые подключены к системы. Люди разницу не видят, а зря)
 

X-Oleg

Местный
Сообщения
588
Симпатии
619
Баллы
93
#6
Извините за линк, но вот моё видение этой уязвимости, также как защитится:

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.



Кто не согласен, ответьте в этой теме, или у меня ! :)
 

TOP-ic

Местный
Сообщения
241
Симпатии
88
Баллы
28
#7
Так что, бояться или нет? Гуру, подскажите. Вот есть у меня Centos 7, установлен VestaCP, мне ждать, когда сами разрабы сборки обновят или ручками, как-то можно сделать?
 

X-Oleg

Местный
Сообщения
588
Симпатии
619
Баллы
93
#8
Так что, бояться или нет? Гуру, подскажите. Вот есть у меня Centos 7, установлен VestaCP, мне ждать, когда сами разрабы сборки обновят или ручками, как-то можно сделать?
Ну я не нашёл способа заюзать это на XenForo, другие скрипты не пробовал, в любом случае т.к. нет пока патча, рекомендую всё-же перебдеть и добавить сюда:

/etc/ImageMagick-xxx/policy.xml

Следующие строки:
Код:
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
  <policy domain="coder" rights="none" pattern="TEXT" />
  <policy domain="coder" rights="none" pattern="SHOW" />
  <policy domain="coder" rights="none" pattern="WIN" />
  <policy domain="coder" rights="none" pattern="PLT" />
Перед <policymap>

Это рекомендуют сделать сами разработчики этого имагика...:)
 

TOP-ic

Местный
Сообщения
241
Симпатии
88
Баллы
28
#9
Сделал. Сразу в двух папках. У меня два "Имагика". ImageMagick и ImageMagick-last
 

X-Oleg

Местный
Сообщения
588
Симпатии
619
Баллы
93
#10
В принципе моё исследование подтвердилось, сейчас набрёл на тему на офф. форуме:

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.



Патча кстати до сех-пор нет, похоже разрабы забили болт !:(:(:(

Так-что добовляйте на всякий случай в policy.xml !:)

Разработчики уже выпустили исправленные версии ImageMagick 7.0.1-2 и 6.9.4-0. Также они

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.

PoC-код, позволяющий определить уязвимые серверы.
 
Последнее редактирование модератором:

SrDEN

Местный
Сообщения
115
Симпатии
109
Баллы
43
#11
На той неделе, с помощью этой баги слили известный хек форум, который работал на IP.Board, так что бояться стоило :)

Да и вообще часто уязвимости недооценивают, серьёзные эксперты, после обнародования бага, пишут что хрен проэксплуатируешь, и через пару дней появляется эксплойт :) Ну и исправленным версиям тоже особо доверять не надо, к примеру шелшок исправляли 6-ть раз! После каждой обновы находили как обойти фильтры...
 
Последнее редактирование модератором:

X-Oleg

Местный
Сообщения
588
Симпатии
619
Баллы
93
#12
Ну и исправленным версиям тоже особо доверять не надо, к примеру шелшок исправляли 6-ть раз! После каждой обновы находили как обойти фильтры...
К сожалению эта либа не обновляется автоматом, только в ручную...:(

Ну либо как в посте Заметка - Уязвимости библиотеки ImageMagick угрожают миллионам сайтов !

А что IP.Board разве не фильтрует входные данные ? Надо будет глянуть ! Ты про nulled.io, там предположение-же, не доказанно что через имагу...

Просто сомниваюсь, что разработчики IP.Board не сделали фильтрацию, а сразу передают на обработку картинки...:)

К сожалению эта либа не обновляется автоматом, только в ручную...:(
Спиздел...:)

Обновилась у меня вроде:

Пожалуйста, Войдите или Зарегистрируйтесь для просмотра скрытого текста.



А вот ffmpeg у меня не обнолялся автоматом ! :(

Может потому-что из исходников собирал, короче нужно контролировать апдейты либ ! ;)
 
Последнее редактирование модератором:

jagon

Пользователь
Сообщения
6
Симпатии
1
Баллы
3
#13
Как я понял уязвимость лишь страшна для владельцев облачных и выделенных серверов для обычных сайтохостингов это не страшно?
 

X-Oleg

Местный
Сообщения
588
Симпатии
619
Баллы
93
#14
Как я понял уязвимость лишь страшна для владельцев облачных и выделенных серверов для обычных сайтохостингов это не страшно?
Опасно, где не фильтруют данные, а это уже плохой тон...:)

Также если хотинг ломанут, то пострадают все сайты, а ломануть могут и локально, так-что как-раз для хостингов это неприятно, но думаю все нормальные хостинги уже пропатчили, патчи уже вышли...:)
 

jagon

Пользователь
Сообщения
6
Симпатии
1
Баллы
3
#15
Опасно, где не фильтруют данные, а это уже плохой тон...:)

Также если хотинг ломанут, то пострадают все сайты, а ломануть могут и локально, так-что как-раз для хостингов это неприятно, но думаю все нормальные хостинги уже пропатчили, патчи уже вышли...:)
был на каком то хостинге (не помню уже название, но Украинский) и как ты сказал его ломонули, было не весело - пострадали все сайты
 
Вверх Снизу