Несколько ошибок, включая критическую уязвимость, которая позволяет дистанционно выполнять код, было ликвидировано в пакете ImageMagick, применяемом веб-разработчиками для преобразования изображений.
Уязвимостью затронуты такие продукты, как Node.js imagemagick, PHP imagick, Ruby paperclip и Ruby rmagick. Сведения об уязвимости до опубликования попали в распоряжение посторонних лиц, вследствие чего был разработан эксплоит, который сейчас активно применяется киберпреступниками.
На данный момент в открытом доступе можно найти патч для устранения ошибки, однако он неполный. На время предотвратить использование уязвимости в ImageMagick можно с помощью отключения в файле конфигурации /etc/ImageMagick/policy.xml проблемных типов обработчиков EPHEMERAL, URL, MVG и MSL. Кроме того, специалисты предлагают проверять изображения, которые поступают на обработку, на предмет того, соответствует ли расширение файла идентификатору в заголовке.
Кроме вышеупомянутой ошибки, в ImageMagick выявлены менее опасные уязвимости, которые дают возможность отправлять запросы HTTP GET или FTP, удалять или перемещать файлы в процессе обработки сформированных специальным образом изображений, а также получать доступ к любым локальным данным на сервере, используя псевдопротокол 'label'.