Новая критическая уязвимость в GraphicsMagick и ImageMagick

Новая критическая уязвимость в GraphicsMagick и ImageMagick

В пакетах ImageMagick и GraphicsMagick выявлена ещё одна опасная уязвимость (CVE-2016-5118), позволяющая выполнить произвольные команды shell при обработке специально оформленного имени файла. Проблема связана с передачей в вызов popen имени файла.

Без его проверки на наличие спецсимволов, что позволяет использовать модификатор "|", отвечающий за ответвление процесса для создания канала ввода-вывода. Передав вместо имени файла аргумент "|имя" можно выполнить произвольный код, например:

   convert '|echo Hello > hello.txt;' null:

Кроме эксплуатации приложений, для преобразования форматов изображений вызывающих утилиту convert, атака может быть проведена при обработке специально оформленных SVG- или MVG-файлов, в которых вместо ссылки на изображение может применяться конструкция:

SVG:

   xlink:href="|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png"

MVG:

  push graphic-context

  viewbox 0 0 640 480

  image copy 200,200 100,100 "|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png"

  pop graphic-context

Проблема присутствует в функции OpenBlob() из состава blob.c. Не исключено, что кроме утилиты convert и обработчиков SVG/MVG, уязвимость может проявляться и в других областях применения GraphicsMagick и ImageMagick. В качестве решения проблемы рекомендуется отключить использование функции popen, убрав флаг HAVE_POPEN в файле magick/blob.c ("#undef HAVE_POPEN"). На момент написания новости исправление доступно лишь в виде патча. Обновления пакетов для дистрибутивов еще не сформированы: Debian, Ubuntu, RHEL/CentOS, SUSE, openSUSE, FreeBSD, Fedora. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Произошел массовый сбой в работе Системы быстрых платежей

В работе Системы быстрых платежей (СБП) зафиксирован сбой. Пользователи массово столкнулись с проблемами при проведении платежей: не загружаются страницы, возникают различные ошибки при попытке перевода средств.

Согласно данным сервиса Downdetector, жалобы на работу СБП начали поступать примерно с 16:00 по московскому времени. Проблемы затронули клиентов разных банков. Больше всего обращений поступает от жителей Москвы, Санкт-Петербурга, а также Московской и Новосибирской областей.

Как сообщает телеграм-канал «Код Дурова», число жалоб в соцсетях также резко выросло. Пользователи часто обращают претензии не только к СБП, но и к банкам. По данным газеты «Вечерняя Москва», сбой в СБП совпал с проблемами в цифровых сервисах Сбербанка и Т-Банка.

«Из-за инцидента на стороне провайдера мы фиксируем увеличение времени обработки операций по СБП. Мы сообщим дополнительно, когда все сервисы вновь начнут работать в штатном режиме», — говорится в сообщении пресс-службы Национальной системы платежных карт (НСПК), оператора СБП.

Это не первый сбой в работе СБП. Ранее масштабные проблемы наблюдались 26 марта 2025 года. Тогда НСПК признала наличие сбоев, но причины не раскрыла. А в июне 2024 года сервисы компании, включая СБП, оказались недоступны из-за DDoS-атаки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru