Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: imagemagick

Jak przez upload zwykłego pliku .png można czytać dowolne pliki z serwera? Podatność w bibliotece ImageMagick (CVE-2022-44268)

03 lutego 2023, 17:03 | W biegu | komentarze 4
Jak przez upload zwykłego pliku .png można czytać dowolne pliki z serwera? Podatność w bibliotece ImageMagick (CVE-2022-44268)

W telegraficznym skrócie: ImageMagick to popularna biblioteka służąca do obróbki obrazów. Podatność, o której mowa w tytule została załatana w listopadzie 2022 roku. W tytule posta jest małe oszustwo ;-] sam upload obrazka nic nie daje, obrazek musi być jeszcze przetworzony przez podatną bibliotekę ImageMagick (wystarczy np. zmiana rozmiarów uploadowanego…

Czytaj dalej »

Yahoobleed – czyli wyciąganie danych z pamięci serwerów Yahoo! 0day na ImageMagick

20 maja 2017, 10:45 | W biegu | 0 komentarzy

Biblioteka ImageMagick, raczej w ostatnich miesiącach nie ma szczęścia. Tym razem udało się komuś przygotować prosty (18 bajtów!) obrazek, który wysłany pocztą Yahoo do samego siebie, po przetworzeniu zawierał… fragmenty pamięci z serwerów: The attack vector for these demos was to attach the 18-byte exploit file (or a variant) as a…

Czytaj dalej »