Siber güvenlik araştırmacıları, açık kaynaklı ImageMagick yazılımındaki potansiyel olarak bir hizmet reddine (DoS) ve bilgi ifşasına yol açabilecek iki güvenlik açığının ayrıntılarını açıkladılar.
Latin Amerika siber güvenlik firması Metabase Q tarafından 7.1.0-49 sürümünde tanımlanan iki sorun, Kasım 2022’de yayınlanan ImageMagick 7.1.0-52 sürümünde ele alındı.
Kusurların kısa bir açıklaması aşağıdaki gibidir –
- CVE-2022-44267 – Tek çizgi (“-“) olan bir dosya adına sahip bir PNG görüntüsünü ayrıştırırken ortaya çıkan bir DoS güvenlik açığı
- CVE-2022-44268 – Bir görüntüyü ayrıştırırken bir sunucudan rasgele dosyaları okumak için kullanılabilen bir bilginin açığa çıkması güvenlik açığı
Bununla birlikte, bir saldırganın kusurları uzaktan silah haline getirmek için ImageMagick kullanarak bir web sitesine kötü amaçlı bir resim yükleyebilmesi gerekir. Özel hazırlanmış görüntü ise, saldırganın seçtiği bazı meta verileri (örneğin, dosya adı için “-“) belirten bir metin parçası eklenerek oluşturulabilir.
The Hacker News ile paylaşılan bir raporda araştırmacılar, “Belirtilen dosya adı ‘-‘ (tek bir çizgi) ise, ImageMagick potansiyel olarak süreci sonsuza kadar beklemeye bırakarak standart girdiden içeriği okumaya çalışacaktır.”
Aynı şekilde, dosya adı sunucuda bulunan gerçek bir dosyaya atıfta bulunuyorsa (örn. “/etc/passwd”), girdi üzerinde gerçekleştirilen bir görüntü işleme işlemi, tamamlandıktan sonra potansiyel olarak uzak dosyanın içeriğini gömebilir.
ImageMagick’te güvenlik açıkları ilk kez keşfedilmiyor. Mayıs 2016’da, yazılımda, ImageTragick adlı biri, kullanıcı tarafından gönderilen görüntüleri işlerken uzaktan kod yürütme elde etmek için kötüye kullanılmış olabilecek birden fazla kusur ifşa edildi.
Daha sonra Kasım 2020’de bir saldırganın şifreli PDF’leri “-authenticate” komut satırı parametresi aracılığıyla görüntülere dönüştürürken rasgele komutlar ekleyebileceği bir kabuk enjeksiyon güvenlik açığı ortaya çıktı.