[Решено] Критическая уязвимость в ImageMagick

Ответить
Аватара пользователя
Delles
Сообщения: 1785
Зарегистрирован: 18 авг 2015, 19:52
Operating system: GNU/Linux : ROSA Desktop Fresh R7 (x86_64). Не обновлял.

[Решено] Критическая уязвимость в ImageMagick

Сообщение Delles » 06 июн 2016, 20:02

Сообщение об уязвимости: http://www.linux.org.ru/news/security/12630654

Насколько я понимаю, баг опасен для серверов; вероятность, что на частном компе кто-то извне подсунет svg-эксплойт, невелика. Но всё равно, дело чести. В cld уже пофиксили:

Код: Выделить всё

$ rm -f hello.txt
$ convert '|echo Hello > hello.txt;' null:
convert: unable to open image `|echo Hello > hello.txt;': Нет такого файла или каталога @ error/blob.c/OpenBlob/2705.
convert: no decode delegate for this image format `TXT;' @ error/constitute.c/ReadImage/504.
convert: no images defined `null:' @ error/convert.c/ConvertImageCommand/3257.
$ ls hello.txt
ls: невозможно получить доступ к hello.txt: Нет такого файла или каталога
$
Последний раз редактировалось Delles 06 июн 2016, 21:48, всего редактировалось 1 раз.
Talk is cheap. Show me the code.
Linus Torvalds

Аватара пользователя
Алзим
Сообщения: 4522
Зарегистрирован: 18 июн 2015, 11:57
Operating system: ROSA Desktop Fresh R11
Откуда: Интернет

Re: Критическая уязвимость в ImageMagick

Сообщение Алзим » 06 июн 2016, 20:13

Вы особо не спешите.
Я обновил не до самой новой версии. Хотя, по датам они идут одинаково.
Может быть разрабы поставят самую новую и проверят всё.
Хорошо, что вы написали. Им есть куда «копать». Но они могут всё изменить в моей версии.
Но, в любом случае, новый ImageMagick просто так пользователям не попадёт.
Его сначала поставит себе собирающий (разработчик). Проверит на своём компе. Потом отправит на QA. Потом пойдёт на тестирование. И только потом появиться в оф.репозитории.
Про ошибки пишите. Они прочитают.

У меня на компе сервер стоит. И я тоже за такими прогами смотрю. :)

Аватара пользователя
Delles
Сообщения: 1785
Зарегистрирован: 18 авг 2015, 19:52
Operating system: GNU/Linux : ROSA Desktop Fresh R7 (x86_64). Не обновлял.

Re: Критическая уязвимость в ImageMagick

Сообщение Delles » 06 июн 2016, 20:55

В mj тоже пофиксили:

Код: Выделить всё

$ rm -f hello.txt
$ convert '|echo Hello > hello.txt;' null:
convert: unable to open image `|echo Hello > hello.txt;': Нет такого файла или каталога @ error/blob.c/OpenBlob/2705.
convert: no decode delegate for this image format `TXT;' @ error/constitute.c/ReadImage/504.
convert: no images defined `null:' @ error/convert.c/ConvertImageCommand/3257.
$ ls hello.txt
ls: невозможно получить доступ к 'hello.txt': Нет такого файла или каталога
$
Talk is cheap. Show me the code.
Linus Torvalds

Аватара пользователя
Алзим
Сообщения: 4522
Зарегистрирован: 18 июн 2015, 11:57
Operating system: ROSA Desktop Fresh R11
Откуда: Интернет

Re: Критическая уязвимость в ImageMagick

Сообщение Алзим » 06 июн 2016, 21:05

Я сейчас в РОСЕ повторил ваши команды.
Или надо было что-то по другому делать?
Вложения
снимок256.jpeg

Аватара пользователя
Delles
Сообщения: 1785
Зарегистрирован: 18 авг 2015, 19:52
Operating system: GNU/Linux : ROSA Desktop Fresh R7 (x86_64). Не обновлял.

Re: Критическая уязвимость в ImageMagick

Сообщение Delles » 06 июн 2016, 21:35

Алзим писал(а):Я сейчас в РОСЕ повторил ваши команды.
Или надо было что-то по другому делать?
Ваш вывод говорит о том, что баг пофиксен. А у меня почему-то нет.

Код: Выделить всё

$ rm -f hello.txt
$ convert '|echo Hello > hello.txt;' null:
convert: no decode delegate for this image format `TXT;' @ error/constitute.c/ReadImage/501.
convert: no images defined `null:' @ error/convert.c/ConvertImageCommand/3230.
$ ls hello.txt
hello.txt
$
Я поставил вот эти пакеты:

Код: Выделить всё

imagemagick-6.9.4.7-1-rosa2014.1.x86_64.rpm        06-Jun-2016 16:10              975141
imagemagick-desktop-6.9.4.7-1-rosa2014.1.x86_64..> 06-Jun-2016 16:10               13905
imagemagick-doc-6.9.4.7-1-rosa2014.1.noarch.rpm    06-Jun-2016 16:10             5345653
отсюда.

Нужно было что-то еще?
Talk is cheap. Show me the code.
Linus Torvalds

Аватара пользователя
Delles
Сообщения: 1785
Зарегистрирован: 18 авг 2015, 19:52
Operating system: GNU/Linux : ROSA Desktop Fresh R7 (x86_64). Не обновлял.

Re: Критическая уязвимость в ImageMagick

Сообщение Delles » 06 июн 2016, 21:36

А, уже вижу — либы. Сейчас доустановлю их.
Talk is cheap. Show me the code.
Linus Torvalds

Аватара пользователя
Алзим
Сообщения: 4522
Зарегистрирован: 18 июн 2015, 11:57
Operating system: ROSA Desktop Fresh R11
Откуда: Интернет

Re: Критическая уязвимость в ImageMagick

Сообщение Алзим » 06 июн 2016, 21:40

Delles писал(а): Нужно было что-то еще?
Я не знаю. Я пересобрал дополнительно в контейнеры:
i586 — http://abf-downloads.rosalinux.ru/alzim ... n/release/
x86_64 — http://abf-downloads.rosalinux.ru/alzim ... n/release/

У меня стоит это. Скрин я скинул выше. У меня нормально.

Аватара пользователя
Delles
Сообщения: 1785
Зарегистрирован: 18 авг 2015, 19:52
Operating system: GNU/Linux : ROSA Desktop Fresh R7 (x86_64). Не обновлял.

Re: Критическая уязвимость в ImageMagick

Сообщение Delles » 06 июн 2016, 21:44

А, теперь отлично:

Код: Выделить всё

# rpm -Uvh --force imagemagick-6.9.4.7-1-rosa2014.1.x86_64.rpm imagemagick-desktop-6.9.4.7-1-rosa2014.1.x86_64.rpm imagemagick-doc-6.9.4.7-1-rosa2014.1.noarch.rpm lib64Magick++6.Q16_6-6.9.4.7-1-rosa2014.1.x86_64.rpm lib64MagickCore6.Q16_2-6.9.4.7-1-rosa2014.1.x86_64.rpm lib64MagickWand6.Q16_2-6.9.4.7-1-rosa2014.1.x86_64.rpm
Подготовка...     ########################################### [100%]
Переупаковка... 
   1:lib64Magick++6.Q16_6   ########################################### [ 33%]
   2:lib64MagickWand6.Q16_2 ########################################### [ 67%]
   3:lib64MagickCore6.Q16_2 ########################################### [100%]
Обновление...     
   1:lib64MagickCore6.Q16_2 ########################################### [ 17%]
   2:imagemagick-doc        ########################################### [ 33%]
   3:imagemagick-desktop    ########################################### [ 50%]
   4:lib64MagickWand6.Q16_2 ########################################### [ 67%]
   5:lib64Magick++6.Q16_6   ########################################### [ 83%]
   6:imagemagick            ########################################### [100%]
# exit
$ rm -f hello.txt
$ convert '|echo Hello > hello.txt;' null:
convert: unable to open image `|echo Hello > hello.txt;': Нет такого файла или каталога @ error/blob.c/OpenBlob/2705.
convert: no decode delegate for this image format `TXT;' @ error/constitute.c/ReadImage/504.
convert: no images defined `null:' @ error/convert.c/ConvertImageCommand/3257.
$ ls hello.txt
ls: невозможно получить доступ к hello.txt: Нет такого файла или каталога
$
Заткнули пробоину. Большое спасибо!
Talk is cheap. Show me the code.
Linus Torvalds

Аватара пользователя
Алзим
Сообщения: 4522
Зарегистрирован: 18 июн 2015, 11:57
Operating system: ROSA Desktop Fresh R11
Откуда: Интернет

Re: Критическая уязвимость в ImageMagick

Сообщение Алзим » 06 июн 2016, 21:51

Можно было бы просто контейнер установить как репозиторий. Обновиться, а потом контейнер-репозиторий удалить. :)

Но, главное не в этом. Главное, что дыры залатали и мы это проверили.
Теперь осталось чтобы разработчики увидели и добавили в оф.репы. А то будет как обычно — у меня (и теперь у вас) это есть, а остальные увидят нескоро.

keleg
Сообщения: 5507
Зарегистрирован: 15 сен 2011, 01:58

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение keleg » 07 июн 2016, 04:56

Видим-видим, не беспокойтесь.

Аватара пользователя
Delles
Сообщения: 1785
Зарегистрирован: 18 авг 2015, 19:52
Operating system: GNU/Linux : ROSA Desktop Fresh R7 (x86_64). Не обновлял.

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение Delles » 07 июн 2016, 13:23

Занятно, что супер-пупер-секьюрный опёнок фиксить этот баг не спешит. Похоже, считают, что особой опасности он не содержит.
VirtualBox_OpenBSD_07_06_2016_13_18_52.png
Talk is cheap. Show me the code.
Linus Torvalds

Аватара пользователя
Алзим
Сообщения: 4522
Зарегистрирован: 18 июн 2015, 11:57
Operating system: ROSA Desktop Fresh R11
Откуда: Интернет

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение Алзим » 07 июн 2016, 13:42

Delles писал(а):Занятно, что супер-пупер-секьюрный опёнок фиксить этот баг не спешит. Похоже, считают, что особой опасности он не содержит.
Может просто возможности нет. Не успевают.

trs
Сообщения: 1939
Зарегистрирован: 07 сен 2015, 16:08
Operating system: -

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение trs » 07 июн 2016, 15:50

Да какая там опасность? Она в том, что проследовавшие по ссылкам увидят, что Google со своими Ads достиг уровня продавцов заморской тушенки? :)

Аватара пользователя
Delles
Сообщения: 1785
Зарегистрирован: 18 авг 2015, 19:52
Operating system: GNU/Linux : ROSA Desktop Fresh R7 (x86_64). Не обновлял.

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение Delles » 07 июн 2016, 15:54

trs писал(а):Да какая там опасность? Она в том, что проследовавшие по ссылкам увидят, что Google со своими Ads достиг уровня продавцов заморской тушенки? :)
Я так понял, что в код svg можно засунуть любую команду, которую convert передаст шеллу, и она будет отработана так же, как отрабатывается echo на примере. Разве нет?
Talk is cheap. Show me the code.
Linus Torvalds

trs
Сообщения: 1939
Зарегистрирован: 07 сен 2015, 16:08
Operating system: -

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение trs » 07 июн 2016, 16:18

Неизвестность кого-нибудь может испугать, на то и расчёт. Параллельно с малопонятными для масс деталями уязвимости показывают мусорные баннеры (кто-то ж их оплатил? бумаги неликвидной накопилось, пытаются продать).
keleg написал же - не беспокойтесь.

Аватара пользователя
Delles
Сообщения: 1785
Зарегистрирован: 18 авг 2015, 19:52
Operating system: GNU/Linux : ROSA Desktop Fresh R7 (x86_64). Не обновлял.

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение Delles » 07 июн 2016, 16:43

Беспокоиться, конечно, не нужно. Но баг есть, факт. Можно, например, снести весь дом.

Код: Выделить всё

$ ls
Desktop/  Документы/  Изображения/  Общедоступные/
Видео/    Загрузки/   Музыка/       Шаблоны/
$ convert '|rm -fr *;' null:
convert: no decode delegate for this image format `' @ error/constitute.c/ReadImage/501.
convert: no images defined `null:' @ error/convert.c/ConvertImageCommand/3230.
$ ls
$
Баннеры я, кстати, смотреть не ходил.
Talk is cheap. Show me the code.
Linus Torvalds

notauser
Сообщения: 1254
Зарегистрирован: 06 май 2012, 21:00

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение notauser » 07 июн 2016, 19:50

Delles писал(а):Занятно, что супер-пупер-секьюрный опёнок фиксить этот баг не спешит. Похоже, считают, что особой опасности он не содержит.
VirtualBox_OpenBSD_07_06_2016_13_18_52.png
CVSROOT: /cvs
Module name: ports
Changes by: sthen@cvs.openbsd.org 2016/05/30 06:02:53

Modified files:
graphics/ImageMagick: Makefile distinfo

Log message:
Update to ImageMagick-6.9.4-4.

While there, neuter popen support ("convert '|echo Hello > hello.txt;' null:")
http://openwall.com/lists/oss-security/2016/05/29/7
http://mirror.yandex.ru/pub/OpenBSD/Cha ... /ChangeLog
http://openbsd.cs.nctu.edu.tw/faq/ru/faq15.html#Ports

notauser
Сообщения: 1254
Зарегистрирован: 06 май 2012, 21:00

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение notauser » 07 июн 2016, 19:57

trs писал(а):Неизвестность кого-нибудь может испугать, на то и расчёт. Параллельно с малопонятными для масс деталями уязвимости показывают мусорные баннеры (кто-то ж их оплатил? бумаги неликвидной накопилось, пытаются продать).
keleg написал же - не беспокойтесь.
magick написал примерно то же самое :)
http://www.imagemagick.org/discourse-se ... 18#p134399
C GraphicsMagick еще интереснее.
Я только не понял что, где и кто показывает? А так да - это фича, а не баг.

Аватара пользователя
Delles
Сообщения: 1785
Зарегистрирован: 18 авг 2015, 19:52
Operating system: GNU/Linux : ROSA Desktop Fresh R7 (x86_64). Не обновлял.

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение Delles » 07 июн 2016, 20:34

15.4.6 - Что я должен использовать: пакеты или порты?
Мы настоятельно советуем для установки приложений использовать пакеты, а не порты. Команда разработчиков портов OpenBSD полагает, что конечным результатом их работы будут пакеты, а не непосредственное применение портов.
Когда проблема считается серьезной, пакет тоже обновляется, не только порты.
Talk is cheap. Show me the code.
Linus Torvalds

notauser
Сообщения: 1254
Зарегистрирован: 06 май 2012, 21:00

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение notauser » 07 июн 2016, 23:09

Да? Прямо в "используемой" Вами ветке?

Аватара пользователя
Delles
Сообщения: 1785
Зарегистрирован: 18 авг 2015, 19:52
Operating system: GNU/Linux : ROSA Desktop Fresh R7 (x86_64). Не обновлял.

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение Delles » 07 июн 2016, 23:44

notauser писал(а):Да? Прямо в "используемой" Вами ветке?
В политику ветки не вникал, но с обновлением пакетов в …/packages/… сталкивался.
Но это уже совсем оффтоп получается.
Talk is cheap. Show me the code.
Linus Torvalds

keleg
Сообщения: 5507
Зарегистрирован: 15 сен 2011, 01:58

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение keleg » 08 июн 2016, 04:02

между тем обновление улетело в тестовые репы, можно проверять!

trs
Сообщения: 1939
Зарегистрирован: 07 сен 2015, 16:08
Operating system: -

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение trs » 08 июн 2016, 05:49

notauser писал(а): Я только не понял что, где и кто показывает?
Сайт seclists.org, на который ссылается LOR как на источник, помимо рекламы аудита (это можно понять) показывал баннеры со сплетнями, не только дискредитируя новость, но и причисляя себя к (второй) самой древней профессии.
Delles писал(а): баг есть, факт.
Разница между "багом" и "удалённым выполнением кода" вряд ли меньше, чем между safety и security. По-русски эти два буржуйских слова означают "безопасность", но ценник на них специалисты вешают сильно разный. Это надо понять... и простить :)

Аватара пользователя
Delles
Сообщения: 1785
Зарегистрирован: 18 авг 2015, 19:52
Operating system: GNU/Linux : ROSA Desktop Fresh R7 (x86_64). Не обновлял.

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение Delles » 08 июн 2016, 12:42

У меня при полном обновлении с подключенными тестовыми репо imagemagick и его либы были проигнорированы. Видимо, потому, что они тождественны пакетам, собранным Алзимом, которые я установил ранее.
Talk is cheap. Show me the code.
Linus Torvalds

Аватара пользователя
Алзим
Сообщения: 4522
Зарегистрирован: 18 июн 2015, 11:57
Operating system: ROSA Desktop Fresh R11
Откуда: Интернет

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение Алзим » 08 июн 2016, 12:56

Delles писал(а):Видимо, потому, что они тождественны пакетам, собранным Алзимом, которые я установил ранее.
Да. В тестовых репах аналогичная сборка. Там ничего не изменено.

Аватара пользователя
Delles
Сообщения: 1785
Зарегистрирован: 18 авг 2015, 19:52
Operating system: GNU/Linux : ROSA Desktop Fresh R7 (x86_64). Не обновлял.

Re: [Решено] Критическая уязвимость в ImageMagick

Сообщение Delles » 08 июн 2016, 13:00

trs писал(а):Разница между "багом" и "удалённым выполнением кода"…
По большому счету, Much Ado About Nothing, как я сразу и написал: на нормальных серверах конверсии виртуализированы, а на персональном компе нужно слишком маловероятное стечение обстоятельств, чтобы вляпаться. Но всё равно приятно, что пофиксили.
Talk is cheap. Show me the code.
Linus Torvalds

Ответить

Вернуться в «Обсуждение ROSA Fresh R4 - R8 (платформа 2014.1)»