O clássico ImageMagick tem uma série de vulnerabilidades que permitem a execução de código arbitrário enviado pelo usuário, e exploits tirando proveito delas já estão circulando.
Muitas das operações de redimensionamento ou processamento de imagens recebidas de usuários para publicação em sites, fóruns, blogs e outros serviços on-line são providas pelo ImageMagick ou outros softwares construídos sobre ele (bibliotecas variadas em PHP, Ruby, node.js e mais).
Mesmo na ausência de uma correção para as falhas do código (no momento em que escrevo esta notícia, ao menos), ao menos duas estratégias de mitigação estão apontadas no site ImageTragick, e uma delas é relativamente fácil de operacionalizar, desativando alguns recursos da ferramenta por meio da inclusão de algumas linhas no seu arquivo policy.xml.
Fonte: Revista Espírito Livre
Nenhum comentário:
Postar um comentário