CVE#imagemagick

.

  • これは仕様。
  • ネットワークから任意のファイル名入力が使える時の | (パイプ) が脆弱性になるので、CVE-2016-5118 で、デフォルト無効になっている。
  • 手元のコマンドライン等で使う時用に有効にするビルドオプションをつけたら、それって脆弱性でしょ?って RedHat が騒いでる。
  • ImageMagick 運営側もあわててリバートの対処コミットして、更にまたやり直してるので、その隙に RedHat が大事になっちゃってる可能性はある。
  • あと、これを有効にした時の Sanitize の挙動が不十分との指摘もあり、それが本当だと嘘から出た真かもしれない。ちょっと判断が難しくなってきた。
  • まぁでも、デフォルト無効なので、殆どの人は気にしなくて良い。