ImageMagick 6.9.7-7 から policy の挙動が変わりました はじめに ImageMagick は組み込みコーデックで100種類以上、外部コマンド利用を含めると200種以上の画像形式をサポートしています。この中の一つでも脆弱性があれば ImageMagick の脆弱性となるので、必要のない画像形式を受け取らない為のケアが必要です。 通常は設定ファイルの policy.xml1 を使って画像形式(domain=coder)毎に許可(OK)/不許可(NG)を指示します。 そして本題ですが、ImageMagick 6.9.7-7 から policy.xml で設定した条件ルールの適用方法が変わりました。 ImageMagick 6.9.7-6 では NG が1つでもあると NG (false 勝ち) ImageMagick 6.9.7-7 最後にマッチしたルールが NG なら