Я спрашиваю, уязвимо ли расширение PECL imagick для новой очень критической проблемы безопасности ImageMagick. (отметьте здесь и здесь). Расширение также использует инструмент ImageMagick через оболочку?
Является ли расширение PECL imagick уязвимым для новой проблемы безопасности ImageMagick?
comment
Как правило, хорошей идеей также является чтение раздела о безопасности в файле readme для Imagick... github.com/mkoppanen /imagick#безопасность
- person Danack   schedule 06.05.2016
comment
@Danack: Спасибо, я согласен. Я не заметил, что расширение Imagick есть на Github.
- person Andreas   schedule 06.05.2016
Ответы (1)
да.
Imagick PECL — это привязка PHP к C-API MagickWand. Он не вызывает сеанс оболочки, но уязвим для проблем с безопасностью делегата — точно так же.
Обновите policy.xml
в соответствии с рекомендациями уведомления.
изменить для завершения
Как обновить policy.xml
(YMMV)
Найдите общий путь ImageMagick в системе.
$ identify -list configure | grep SHARE #=> SHARE_PATH /usr/share/ImageMagick-6
Создайте или отредактируйте
policy.xml
в каталоге предыдущего шага.$ cd /usr/share/ImageMagick-6 $ sudo cat > policy.xml <<EOF <policymap> <policy domain="coder" rights="none" pattern="EPHEMERAL" /> <policy domain="coder" rights="none" pattern="HTTPS" /> <policy domain="coder" rights="none" pattern="MVG" /> <policy domain="coder" rights="none" pattern="MSL" /> <policy domain="coder" rights="none" pattern="TEXT" /> <policy domain="coder" rights="none" pattern="SHOW" /> <policy domain="coder" rights="none" pattern="WIN" /> <policy domain="coder" rights="none" pattern="PLT" /> </policymap> EOF
Проверьте загрузку политики с помощью
identify -list policy
.- Перезапустите веб-службы, чтобы обеспечить загрузку новых политик.
person
emcconville
schedule
05.05.2016