ImageMagickを使うWebアプリのセキュリティ - 3. XSS・アクセス制御 - MBSD
本記事はImageMagick関連の記事の3本目です。ImageMagickの既知の脆弱性、システム情報の漏洩などの問題を扱った1つ目の記事、DoSを扱った2つ目の記事も参照ください。 最終となる3回目の今回は、XSSとアクセス制御を取り上げます。前提とする環境などは前回・前々回と同じです。 ※ 記事中では右の略語を使っています。 IM = ImageMagick、CW = CarrierWave アクセス制御の不備 初回の記事で述べたように、デフォルトの状態のCWは公開ディレクトリにアップロードされたファイルを置きます。ファイルの最終的な保存前に一時的に作成されるキャッシュも同様です。 これらのファイルはURLを推測できれば誰でも参照可能です。
ImageMagick Is On Fire — CVE-2016–3714 | ImageTragick
Updated 5/12 lcamtuf With Advice On Better Mitigations Updated 5/5 Updated Policy Recommendation Updated 5/4 What's with the stupid (logo|website|twitter account)? Detailed Vulnerability Information PoC Updated 5/3 FAQs ImageMagick Is On Fire — CVE-2016–3714 TL;DR There are multiple vulnerabilities in ImageMagick, a package commonly used by web services to process images. One of the vulnerabilitie
ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた 2016-05-04 - piyolog
画像処理ソフトImageMagickに複数の脆弱性が存在するとして2016年5月3日頃、CVE-2016-3714他の脆弱性情報が公開されました。ここでは関連情報をまとめます。 ImageMagick 開発チームの情報 2016年5月3日 ImageMagick Security Issue 脆弱性情報 対象 ImageMagick CVE CVE-2016-3714 CVE-2016-3715 CVE-2016-3716 CVE-2016-3717 CVE-2016-3718 影響 RCE 重要度 CVE-2016-3714:Important(Redhat)/緊急(JPCERT/CC) PoC PoC公開あり。 in the wildとの情報もあり。 CVSS(v2) CVE-2016-3714:6.8(Redhat)/9.3(CERT/CC) 発見者 Nikolay Ermishki
ImageMagick – JP2 Encoding Options
ImageMagick's JPEG-2000 image formats, JP2 and JPC, accept a plethora of encoding options as detailed below. As an example, suppose you are interested in these options: code blocks are 64 samples in width and 32 samples in height no multicomponent transform 4 resolution levels for each component compression is lossy at 64:1 Use this command to convert a JPEG-2000 image to the PNG image format: mag
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
本当は速いImageMagick: サムネイル画像生成を10倍速くする方法 - 昼メシ物語
一般的に ImageMagick のサムネイル画像生成は遅いとされており、パフォーマンスが求められるシーンでは Imlib2 などのより高速な画像処理ライブラリが使われることが多いです。 Imlib2 の高速さについては、以前「Imlib2でImageMagickより3倍高速かつ美しいサムネイル画像の生成 - 床のトルストイ、ゲイとするとのこと」という記事で紹介しました。この記事のベンチマークにおいて、Imlib2 によるサムネイル画像の生成は、 ImageMagick の3倍程高速でした。 しかし、 ImageMagick は Imlib2 より画質がよく、高機能で使いやすく、今も頻繁にメンテナンスされており、とてもよく出来ています。その点 Imlib2 は、2004年からメンテナンスされておらず、セキュリティホールが見つかっても、各Linuxディストリビューションがそれぞれパッチを当て
ImageMagick installer for Mac OS X at Cactuslab
Cactuslab provides this installer package to simplify the process of installing ImageMagick on Mac OS. The installer puts ImageMagick into /opt/ImageMagick and adds it to your PATH by creating an entry in /etc/paths.d/. These ImageMagick installers include the following delegates: bzlib fftw jng jpeg lcms lzma png ps tiff xml zlib, and now includes support for webp. The second installer requires X
livedoor Techブログ : 本当はもっと速いImlib2: Imlib2でもImageMagickと同じ仕組みでサムネイル画像生成を速くする方法
こんにちは!こんにちは! 開発部のやましーです。 今回はSmallLightの中でやっている細かいことについてです。 SmallLightとは SmallLightとは、2010年末にlivedoor labs EDGEにてリリースした画像サムネイル生成用Apacheモジュールです。 JPEG画像の読み込み処理の最適化 JPEG画像は、その圧縮アルゴリズムの特性で読み込み時に1/2、1/4、1/8にダウンスケーリングすることができます。libjpegでは画像読み込み時にjpeg_decompress_struct構造体のscale_denomにダウンスケーリング指数を指定します。 SmallLightではこれをJPEGヒントオプションとして実装しています。パターン文字列に jpeghint=y を付与することで有効になります。(SmallLightの README の100行目) JPEG
CentOS4.5にRMagickをインストール - 基本へ帰ろう
CentOS 4.4にRMagick をインストールする (山本隆の開発日誌) ↑コチラ様を参考にやってみる。 ○ImageMagickがインストールされているか確認 # rpm -qa |grep ImageMagick ImageMagick-6.2.8.0-3.el5.4入っているっぽい。 ○Rubyがインストールされているか確認 # ruby -v ruby 1.8.6 (2007-03-13 patchlevel 0) [i686-linux]ちゃんと入ってる。 ○「gem install RMagick」をやる。 # gem install RMagick Bulk updating Gem source index for: http://gems.rubyforge.org Building native extensions. This could take a whil
2006-10-15
いちおう画像も扱いたい。使うのはImageMagick と RMagick。ImageMagick - Convert, Edit, or Compose Bitmap Images と http://pub.cozmixng.org/~the-rwiki/rw-cgi.rb?cmd=view;name=RMagick # aptitude install imagemagick # aptitude install librmagick-ruby1.8 # gem install RMagickが、エラーで、RMagick が入らない。 Can't find Magick-config といっている。 # whereis Magick-config Magick-config:たしかにない。http://rails.office.drecom.jp/hibi/archive/25 でも同
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - mike-williams/imagetragick-poc: Create a docker container with vulnerable imagemagick and node app to demonstrate what CVE 2016-3714 is