Une faille critique dans ImageMagick permet de lancer facilement des commandes sur votre serveur par un simple upload d’image.
C’est à la portée de toute personne sachant lancer une commande dans un terminal.
En attendant le patch, pour s’en prémunir il faut modifier le fichier policy.xml (/etc/Imagemagick/policy.xml et /etc/Imagemagick-6/policy.xml sur Debian) afin d’y contenir ces règles :
<policymap> <policy domain="coder" rights="none" pattern="EPHEMERAL" /> <policy domain="coder" rights="none" pattern="URL" /> <policy domain="coder" rights="none" pattern="HTTPS" /> <policy domain="coder" rights="none" pattern="MVG" /> <policy domain="coder" rights="none" pattern="MSL" /> <policy domain="coder" rights="none" pattern="TEXT" /> <policy domain="coder" rights="none" pattern="SHOW" /> <policy domain="coder" rights="none" pattern="WIN" /> <policy domain="coder" rights="none" pattern="PLT" /> </policymap>
attention, le policymap a été modifié sur imagetragick depuis votre billet :
Un ptit edit peut-être ?
Merci :-)
Article mis à jour.
Oups désolé.
Tu devrais préciser les versions parce que tu peux créer ou recréer des régressions voire des failles sur les systèmes non concernés. ;)