Backup of CVE-2023-34152 (No. 3)

• Backup list
• View the diff.
• View the diff current.
• View the diff for visual.
• View the source.
• Go to CVE-2023-34152.
  • 1 (2023-06-01 (Thu) 16:53:51)
  • 2 (2023-08-28 (Mon) 00:05:41)
  • 3 (2023-08-28 (Mon) 01:17:57)

CVE#imagemagick

• https://nvd.nist.gov/vuln/detail/CVE-2023-34152

  A vulnerability was found in ImageMagick. This security flaw cause a remote code execution vulnerability in OpenBlob with --enable-pipes configured.

• https://github.com/ImageMagick/ImageMagick/issues/6339

  There is no need to assign a CVE for this. This feature is by design....

• CVE-2023-34152: Shell Command Injection Bug Affecting ImageMagick
  • https://securityonline.info/cve-2023-34152-shell-command-injection-bug-affecting-imagemagick/

    While the initial solution to this problem involved adding a configure option –enable-pipes to specifically activate the support of pipes, it was found to be insufficient. The culprit is SanitizeString, which only filters out certain characters, allowing shell command injection through a malformed file name—a perilous vulnerability that necessitates immediate attention.

.

• これは仕様。
• ネットワークから任意のファイル名入力が使える時の | (パイプ) が脆弱性になるので、CVE-2016-5118 で、デフォルト無効になっている。
• 手元のコマンドライン等で使う時用に有効にするビルドオプションをつけたら、それって脆弱性でしょ？って RedHat が騒いでる。
• ImageMagick 運営側もあわててリバートの対処コミットしているので、その隙に RedHat が色々動いて大事になっちゃってる可能性はある。
• あと、これを有効にした時の Sanitize の挙動が不十分との指摘もあり、少し判断が難しい。