Форум Сайтостроение Администрирование серверов

Imagemagick 0-day exploit fix

Electronn
На сайте с 01.02.2010
Offline
91
Electronn
663

http://www.openwall.com/lists/oss-security/2016/05/03/18

Если кому пригодится:

1. Ищем, где инклудится конфиг: 

strace -f convert 2>&1 | grep policy

open("/usr/share/ImageMagick-6.7.7/policy.xml", O_RDONLY) = -1 ENOENT (No such file or directory)

open("/usr/lib/x86_64-linux-gnu/ImageMagick-6.7.7/config/policy.xml", O_RDONLY) = -1 ENOENT (No such file or directory)

open("/etc/ImageMagick/policy.xml", O_RDONLY) = 3

open("/usr/share/doc/ImageMagick-6.7.7/policy.xml", O_RDONLY) = -1 ENOENT (No such file or directory)

open("/root/.magick/policy.xml", O_RDONLY) = -1 ENOENT (No such file or directory)

Для Debian у меня путь - /etc/ImageMagick/policy.xml

2. В раздел <policy >добавляем: 

  <policy domain="coder" rights="none" pattern="EPHEMERAL" />

  <policy domain="coder" rights="none" pattern="URL" />

  <policy domain="coder" rights="none" pattern="HTTPS" />

  <policy domain="coder" rights="none" pattern="MVG" />

  <policy domain="coder" rights="none" pattern="MSL" />

  <policy domain="coder" rights="none" pattern="TEXT" />

  <policy domain="coder" rights="none" pattern="SHOW" />

  <policy domain="coder" rights="none" pattern="WIN" />

  <policy domain="coder" rights="none" pattern="PLT" />
Skom
На сайте с 02.12.2006
Offline
166
Skom
#1

В 7.0.1-1 его пофиксили, но 7.0.1-1 сам кривой.

7.0.1-2 вроде, фикс закоммитили, но пока не выложили исходники.

6.9.4 тоже на подходе

Cras amet qui numquam amavit quique amavit cras amet

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий