Ir para o conteúdo
ou

Logo noosfero

ODF Alliance Award

Furusho

TDF Planet

redirection forbidden: http://planet.documentfoundation.org/atom.xml -> https://planet.documentfoundation.org/atom.xml

BR.Linux.org

redirection forbidden: http://br-linux.org/feed -> https://br-linux.org/feed

Seja Livre!

404 Not Found

Linux Feed

getaddrinfo: Name or service not known

Computerworld

getaddrinfo: Name or service not known

PC World

getaddrinfo: Name or service not known

IDG Now!

getaddrinfo: Name or service not known

Info

Invalid feed format.

Users SL Argentina

redirection forbidden: http://drupal.usla.org.ar/rss.xml -> https://cobalto.gnucleo.net/rss.xml

Tecno Libres - Cubas

redirection forbidden: http://gutl.jovenclub.cu/feed -> https://gutl.jovenclub.cu/feed

Software Libre Peru

Invalid feed format.

Linux Venezuela

Invalid feed format.

GNU/Linux Paranguay

getaddrinfo: Name or service not known

Soft Libre Honduras

Invalid feed format.

Linux Rep.Dominicana

404 Feed not found error: FeedBurner cannot locate this feed URI.

 Voltar a FREE SOFTWAR...
Tela cheia

Novo bug no ImageMagick permite executar comandos arbitrários a partir do parâmetro do nome do arquivo

29 de Maio de 2016, 22:59 , por BR-Linux.org - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado 344 vezes

As vulnerabilidades recentes do ImageMagick lembram bastante a década de 1990. Não por coincidência, esse popular utilitário tem 25 anos: a versão inicial é de agosto de 1990.

A novidade deste domingo (que talvez já venha sendo explorada discretamente há anos, já que o ImageMagick está por trás da conversão de tamanho e formato de imagens de muitos serviços online) é um bug que permite executar um comando arbitrário da shell passado como parâmetro no lugar do nome de um arquivo, precedido por um símbolo de pipe, como no exemplo:

convert '|echo teste > /tmp/teste.txt;' null:

Na versão do ImageMagick instalada no meu desktop, o comando acima retorna erro, mas o arquivo /tmp/teste.txt é criado, tendo a palavra "teste" como seu conteúdo. Outros comandos ao alcance do usuário que rodar o ImageMagick podem não ser tão inofensivos...

Um patch simples (que desabilita o recurso de abertura de pipes, no qual está o bug) acompanha a descrição do bug, no link abaixo.

(via seclists.org - “oss-sec: CVE Request: GraphicsMagick and ImageMagick popen() shell vulnerability via filename”)

O artigo "Novo bug no ImageMagick permite executar comandos arbitrários a partir do parâmetro do nome do arquivo" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.


Fonte: http://br-linux.org/2016/01/novo-bug-no-imagemagick-permite-executar-comandos-arbitrarios-a-partir-do-parametro-do-nome-do-arquivo.html

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.