CVE-2023-34152

CVE#imagemagick

• https://nvd.nist.gov/vuln/detail/CVE-2023-34152

  A vulnerability was found in ImageMagick. This security flaw cause a remote code execution vulnerability in OpenBlob with --enable-pipes configured.

• https://github.com/ImageMagick/ImageMagick/issues/6339

  There is no need to assign a CVE for this. This feature is by design....

• CVE-2023-34152: Shell Command Injection Bug Affecting ImageMagick
  • https://securityonline.info/cve-2023-34152-shell-command-injection-bug-affecting-imagemagick/

    While the initial solution to this problem involved adding a configure option –enable-pipes to specifically activate the support of pipes, it was found to be insufficient. The culprit is SanitizeString, which only filters out certain characters, allowing shell command injection through a malformed file name—a perilous vulnerability that necessitates immediate attention.

.

• これは仕様。
• ネットワークから任意のファイル名入力が使える時の | (パイプ) が脆弱性になるので、CVE-2016-5118 で、デフォルト無効になっている。
• 手元のコマンドライン等で使う時用に有効にするビルドオプションをつけたら、それって脆弱性でしょ？って RedHat が騒いでる。
• ImageMagick 運営側もあわててリバートの対処コミットして、更にまたやり直してるので、その隙に RedHat が大事になっちゃってる可能性はある。
• あと、これを有効にした時の Sanitize の挙動が不十分との指摘もあり、それが本当だと嘘から出た真かもしれない。ちょっと判断が難しくなってきた。
• まぁでも、デフォルト無効なので、殆どの人は気にしなくて良い。