reklama

Populární linuxový ImageMagick je děravý jako ementál. Drobným hackem jsme smazali soubory

Hromada webových služeb běžících na linuxovém serveru používá k operacím s obrázky nástroje z balíku ImageMagick. Ty mohou třeba ořezávat a generovat fotografie, provádět jejich konverzi mezi formáty aj. Takovým typickým příkladem použití by mohla být třeba práce s úpravou profilové fotografie uživatele na nějakém webu.

ImageMagick je rychlý a mocný, nabízí totiž obrovské množství konverzních funkcí včetně generování animovaných gifů aj. Jenže kvůli této komplexnosti obsahuje také hromadu kritických chyb (CVE-2016-3714), na které nyní upozornil třeba docela adekvátně pojmenovaný web ImageTragick.

Díky těmto zranitelnostem lze poměrně snadno zneužít konverzní funkce ImageMagicku k nejrůznějším operacím v systému. Pokud například ImageMagick dostane za úkol převést grafiku ve formátu SVG, MVG aj. do něčeho jiného – třeba do rastru PNG, může vstupní soubor obsahovat příkazy, které povedou ke smazání nějakého souboru (pokud na to bude mít ImageMagick práva), ke spuštění příkazu, zavolání HTTP GET, stažení zákeřného kódu z webu aj.

Okamžitě po zveřejnění tedy hackeři vytvořili zákeřné obrázky, které zkoušejí nahrávat na nejrůznější weby, které pracují s grafikou a ví se, že používají ImageMagick. Některé velké hostingové/CDN systémy jako třeba CloudFlare a další už na tyto útoky pamatují ve svých firewallech.

Příklad útoku pomocí zákeřného obrázku

Jak může být takový útok snadný, ukážeme v příkladu níže.

Nejprve si vytvořím zákeřný soubor smazat.mvg v textovém formátu MVG (Magick Vector Graphics):

push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'ephemeral:/tmp/pokus.txt'
pop graphic-context

Soubor obsahuje textové instrukce k vytvoření plátna o velikost 640×480 pixelů, na které se má vykreslit na pozici 0;0 obrázek ze souboru /tmp/pokus.txt. Před adresou souboru je ale klíčové slovo ephemeral, které ImageMagicku říká, aby tento soubor poté smazal.

Problém spočívá v tom, že se vůbec nejedná o obrázek, ale že to může být vlastně jakýkoliv soubor, k jehož smazání bude mít proces ImageMagicku právo.

Pokud bych takový soubor poté nahrál na nějakou službu s ImageMagickem, který se na serveru pokusí o konverzi do nějakého jednotného formátu, třeba PNG, provedl by podobnou operaci takto:

convert smazat.mvg smazat.png

V rámci zpracovávání souboru smazat.mvg by pak ImageMagick smazal soubor /tmp/smazat.txt

Klepněte pro větší obrázek
ImageMagick je velmi snadno zneužitelný k nekalým operacím

Další příklady primitivních a o to nejbezpečnějších útoků najdete na webu ImageTragick, který zároveň nabízí rady, jak balík aktuálně co nejlépe zabezpečit.

Témata článku: Web, Bezpečnost, Programování, Linux, Open source, SVG, Vector, Convert

14 komentářů

Nejnovější komentáře

  • Honza Skýpala 11. 5. 2016 19:39:50
    To se používá? Na linuxu jedu už tak pět šest let, a tohle jsem nikdy...
  • Albert Kratky 11. 5. 2016 10:41:16
    tak image mgick som nepouzil ani nepamatam. ale mam navrh na novinku...
  • matelko 2 10. 5. 2016 22:25:23
    :-) Ty brďo to abych se bál. :-D Ale, že jste tady nepsali o tomhle. To...
reklama
Určitě si přečtěte

Pojďme programovat elektroniku: Sestavíme si mobil a pošleme SMS

Pojďme programovat elektroniku: Sestavíme si mobil a pošleme SMS

** Kolik stál váš mobilní telefon? ** Základní GSM modem koupíte za stovku ** Umí telefonovat, posílat SMS a zvládne i GPRS

13.  1.  2017 | Jakub Čížek | 27

Auta budoucnosti: V tomto se budete za pár let vozit

Auta budoucnosti: V tomto se budete za pár let vozit

** Velký prostor patřil na letošním veletrhu CES automobilům ** Automobilová budoucnost je elektrická a inteligentní ** Podívejte se, jak je vývoj futuristických autonomních aut daleko

12.  1.  2017 | David Polesný | 34

Český státní blacklist už funguje. Ministerstvo financí se pochlubilo s detaily

Český státní blacklist už funguje. Ministerstvo financí se pochlubilo s detaily

** Dva týdny po Novém roce zajím zeje prázdnotou ** Ministerstvo vydalo metodický pokyn ** Takhle to bude fungovat v praxi

16.  1.  2017 | Jakub Čížek | 45

Opera Neon: Takto prý bude vypadat prohlížeč budoucnosti. Chcete to?

Opera Neon: Takto prý bude vypadat prohlížeč budoucnosti. Chcete to?

** Opera představila Neon ** Koncepci prohlížeče budoucnosti ** Připomíná Chrome OS

16.  1.  2017 | Jakub Čížek | 34


Aktuální číslo časopisu Computer

99 nejlepších programů pro váš počítač

Zvykejte si na umělou inteligenci

Velké testy PC zdrojů a gamepadů

Alternativní zdroje energie

reklama
reklama