Faille critique dans ImageMagick

logo-mediumUne faille critique dans ImageMagick permet de lancer facilement des commandes sur votre serveur par un simple upload d’image.

C’est à la portée de toute personne sachant lancer une commande dans un terminal.

En attendant le patch, pour s’en prémunir il faut modifier le fichier policy.xml (/etc/Imagemagick/policy.xml et /etc/Imagemagick-6/policy.xml sur Debian) afin d’y contenir ces règles :

<policymap>
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
  <policy domain="coder" rights="none" pattern="TEXT" />
  <policy domain="coder" rights="none" pattern="SHOW" />
  <policy domain="coder" rights="none" pattern="WIN" />
  <policy domain="coder" rights="none" pattern="PLT" />
</policymap>

3 réactions sur “ Faille critique dans ImageMagick ”

  1. Eric

    attention, le policymap a été modifié sur imagetragick depuis votre billet :

    Un ptit edit peut-être ?

  2. yann

    Oups désolé.

    Tu devrais préciser les versions parce que tu peux créer ou recréer des régressions voire des failles sur les systèmes non concernés. ;)

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.