Les chercheurs en cybersécurité ont révélé les détails de deux failles de sécurité dans le logiciel open source ImageMagick qui pourraient potentiellement conduire à un déni de service (DoS) et à la divulgation d’informations.
Les deux problèmes, qui ont été identifiés par la société latino-américaine de cybersécurité Metabase Q dans la version 7.1.0-49, ont été résolus dans ImageMagick version 7.1.0-52 , publiée en novembre 2022.
Une brève description des défauts est la suivante –
- CVE-2022-44267 – Une vulnérabilité DoS qui survient lors de l’analyse d’une image PNG avec un nom de fichier composé d’un seul tiret (« -« )
- CVE-2022-44268 – Une vulnérabilité de divulgation d’informations qui pourrait être exploitée pour lire des fichiers arbitraires à partir d’un serveur lors de l’analyse d’une image
Cela dit, un attaquant doit pouvoir télécharger une image malveillante sur un site Web à l’aide d’ImageMagick afin de militariser les failles à distance. L’image spécialement conçue, pour sa part, peut être créée en insérant un morceau de texte qui spécifie certaines métadonnées du choix de l’attaquant (par exemple, « – » pour le nom de fichier).
« Si le nom de fichier spécifié est ‘-‘ (un seul tiret), ImageMagick essaiera de lire le contenu à partir de l’entrée standard, laissant potentiellement le processus attendre pour toujours », ont déclaré les chercheurs dans un rapport.
De la même manière, si le nom du fichier fait référence à un fichier réel situé sur le serveur (par exemple, « /etc/passwd »), une opération de traitement d’image effectuée sur l’entrée pourrait potentiellement imbriquer le contenu du fichier distant sur l’image traitée une fois qu’il est terminé.
Ce n’est pas la première fois que des failles de sécurité sont découvertes dans ImageMagick. En mai 2016, plusieurs failles ont été révélées dans le logiciel, dont l’une, baptisée ImageTragick , aurait pu être abusée pour obtenir l’exécution de code à distance lors du traitement d’images soumises par l’utilisateur.
Une vulnérabilité d’injection de shell a ensuite été révélée en novembre 2020, dans laquelle un attaquant pouvait insérer des commandes arbitraires lors de la conversion de PDF chiffrés en images via le paramètre de ligne de commande « -authenticate ».
