タグ

ブックマーク / boscono.hatenablog.com (1)

  • ImageMagickの脆弱性(ImageTragick) - てきとうなメモ

    piyokangoさんが詳しいが自分も少し調べたので。 d.hatena.ne.jp ImageTragick どんな脆弱性? 外部からの入力により、意図せずに、ファイルを読みこんだり、ファイルを移動したり、削除したり、特定のURLにアクセスしたり、任意のコードを実行可能な脆弱性。 どういうアプリが攻撃される? 画像をアップロードしてImageMagickを使って変換するみたいなサービスが狙われるかな。 どういう仕組みで攻撃しているのか ImageMagickはいろんな種類のファイルを処理できるが、そのためにcoderとdelegateという機能がある。coderはライブラリとして各種ファイルを変換する機能、delegateは適切なcoderがなかった時に、外部コマンドを用いて変換する機能である。 CVE-2016-3714(コード実行の脆弱性)については、delegateの機能で外部コマ

    ImageMagickの脆弱性(ImageTragick) - てきとうなメモ
    raimon49
    raimon49 2016/05/11
    coder/delegateの流れ。
  • 1