Не-не-не, скрепка горит в аду.
25.07.2017, 19:50
Секундочку, ImageMagick все еще используется на серверах для обработки изображений.
Тысячи их https://www.imagemagick.org/discourse-server/
Такое сильное некромантство, что свежая версия на этой неделе вышла https://www.imagemagick.org/download/
Такое сильное некромантство, что свежая версия на этой неделе вышла https://www.imagemagick.org/download/
Продвинутое умертвие -лич
И как показала практика - очень зря. Он дырявый как сито: https://imagetragick.com/
Из вики:
In May 2016, it was reported that ImageMagick had a vulnerability through which an attacker can execute arbitrary code on servers that use the application to edit user-uploaded images.
https://arstechnica.com/security/2016/05/exploits-gone-wild-hackers-target-critical-image-processing-bug/
Из вики:
In May 2016, it was reported that ImageMagick had a vulnerability through which an attacker can execute arbitrary code on servers that use the application to edit user-uploaded images.
https://arstechnica.com/security/2016/05/exploits-gone-wild-hackers-target-critical-image-processing-bug/
Это не просто крупный баг, это возможность выполнения произвольного постороннего кода на сервере. Из-за, библиотеки для работы с изображениями!
Не знаю как там с PHP и Perl (в PHP коде я действительно часто видел использование ImageMagick, так как там ничего другого нету), но я не припомню ни одну библиотеку для Python, чтобы она опиралась на ImageMagick, кроме как PythonMagick, который просто python обертка для API ImageMagick. Все часто используемые библиотеки, такие как PIL, Pillow, scikit-image никак не зависят от ImageMagick.
Не знаю как там с PHP и Perl (в PHP коде я действительно часто видел использование ImageMagick, так как там ничего другого нету), но я не припомню ни одну библиотеку для Python, чтобы она опиралась на ImageMagick, кроме как PythonMagick, который просто python обертка для API ImageMagick. Все часто используемые библиотеки, такие как PIL, Pillow, scikit-image никак не зависят от ImageMagick.
Возможность выполнения произвольного кода на сервере - это, к сожалению, часто встречающаяся проблема, причем сразу на всех уровнях. Shellshock работал просто на Apache, да что там, он даже на DHCP-клиентах работал, что позволяло получать доступ к VPS серверам находящимся в той же сети.
Но нет худа без добра. Все это безобразие очень ускорило развитие защитных мер на уровне самой OS - grsec, apparmor, selinux...
Но нет худа без добра. Все это безобразие очень ускорило развитие защитных мер на уровне самой OS - grsec, apparmor, selinux...
Все так, часто встречающаяся проблема. Но воспользоваться уязвимостью не всегда просто. В случае с упомянутым Shellshock, до bash'а еще добраться как-то надо. На apache, если верить вики, работал эксплоит связанный с CGI, что при определенных обстоятельствах давало возможность выполнить произвольный код. DHCP эксплоит на клиентах работал, ну ок, им можно воспользоваться если есть доступ к роутеру, а с клиента ничего не сделаешь. Т.е. такая уязвимость не дает лего и просто доступ к удаленному серверу.
Но в случае с ImageMagick достаточно было загрузить специальную картинку.
Хотя я не безопасник, могу ошибаться.
Но в случае с ImageMagick достаточно было загрузить специальную картинку.
Хотя я не безопасник, могу ошибаться.
Ну да, на Апаче работал эксплойт в mod_cgi, который включен почти везде. DHCP-атака более сложная, но более коварная - она позволяет атаковать сервера в той же сети, т.е. нужно посмотреть у кого хостится потенциальная жертва и заказать там себе хостинг. А для атаки через ImageMagick нужно чтобы на сервере была, собственно, обработка изображений.
Потому следует предполагать, что любые сервисы потенциально уязвимы. И должны быть ограничены своей песочницей так жестко, как только вообще возможно. В случае apache, к примеру, у пользователя, под которым он работает, не должно быть прав на чтение/выполнение чего бы то ни было вне папки со скриптами сайта. Тогда доступ к bash из под Апача не дал бы ничего, кроме кучи записей в логи, вне зависимости от того, воспользовались бы злоумышленники уязвимостью в ImageMagick или mod_cgi.
Потому следует предполагать, что любые сервисы потенциально уязвимы. И должны быть ограничены своей песочницей так жестко, как только вообще возможно. В случае apache, к примеру, у пользователя, под которым он работает, не должно быть прав на чтение/выполнение чего бы то ни было вне папки со скриптами сайта. Тогда доступ к bash из под Апача не дал бы ничего, кроме кучи записей в логи, вне зависимости от того, воспользовались бы злоумышленники уязвимостью в ImageMagick или mod_cgi.
Оказывается, есть современная веб-версия http://hover.ie/
У меня до сих пор ХР, так что даже не понастальгируешь.
Вот просто убрать проблему нельзя, но цвет поменять легко.
Он не мёртв, он сам олицетворяет смерть. BSOD (Blue Screen Of Death)
Эх,ностальгия.
Чтобы написать коммент, необходимо залогиниться
