1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Imagetragick: Bug in…

soweit ich weiss

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. soweit ich weiss

    Autor: oldathen 10.05.16 - 15:29

    gibt es auch noch keinen Patch. Eher die Workarounds mit der Policy Datei. Und bis das nicht richtig abgedichtet ist gibt es solange auch kein Imagemagick mehr auf den Servern bei uns.

  2. Re: soweit ich weiss

    Autor: hg (Golem.de) 10.05.16 - 15:33

    Im Changelog gibt es mehrere aktuelle Patches, die wohl jeweils Teile des Problems beheben sollen. Genaue Informationen gibt es aber leider nicht. Der Workaround mit der Policy-Datei ist aber auf jeden Fall nach wie vor zu empfehlen.

    VG,

    Hauke Gierow - Golem.de

  3. Re: soweit ich weiss

    Autor: Andre S 10.05.16 - 15:41

    oldathen schrieb:
    --------------------------------------------------------------------------------
    > gibt es auch noch keinen Patch. Eher die Workarounds mit der Policy Datei.
    > Und bis das nicht richtig abgedichtet ist gibt es solange auch kein
    > Imagemagick mehr auf den Servern bei uns.


    Das kann man doch sicherlich mit ein paar Zeilen PHP validieren. Man müsste nur wissen wie man den eingeschleusten Code im vermeintlichen "Bild" erkennt und den input file_string validieren. Das sollte ja nicht so schwer zu erkennen sein.

    Wenn etwas drin ist was auf eine Routine schliesst statt auf übliche Bilddaten -> Upload verweigern.

    Das ginge theoretisch bereits mit
    if(preg_match($_FILES[$index], "/malicous-pattern/") == true) { ... die("You have no power here!"); }



    2 mal bearbeitet, zuletzt am 10.05.16 15:42 durch Andre S.

  4. Re: soweit ich weiss

    Autor: merodac 10.05.16 - 16:17

    ist aber performancemässig eher ein bissl horror, alles doppelt scannen zu müssen.

  5. Re: soweit ich weiss

    Autor: TheUnichi 10.05.16 - 17:01

    Andre S schrieb:
    --------------------------------------------------------------------------------
    > Das ginge theoretisch bereits mit
    > if(preg_match($_FILES[$index], "/malicous-pattern/") == true) { ...
    > die("You have no power here!"); }

    Notice: Undefined index: {$index}
    (Niemals isset() oder empty() vergessen)

    Notice: Array to string conversion
    ($_FILES ist multidimensional)

    ggf. würde auch ein strpos() schon reichen.
    preg_match wirft btw. in keinem Fall "true" zurück, wenn dann "1". Wird dank loosely typed equals gehen, ist aber grundsätzlich falsch.

  6. Re: soweit ich weiss

    Autor: Daniel Ruf 10.05.16 - 23:55

    das wird mit der Zeit immer komplexer, da es weitere Payloads gibt und entsprechend Signaturen benötigt werden

    solche Überprüfungen von Dateiuploads macht zB phpMussel, was ClamAV-Signaturen und eigene Signaturen nutzt https://github.com/Maikuolan/phpMussel

    Andre S schrieb:
    --------------------------------------------------------------------------------
    > oldathen schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > gibt es auch noch keinen Patch. Eher die Workarounds mit der Policy
    > Datei.
    > > Und bis das nicht richtig abgedichtet ist gibt es solange auch kein
    > > Imagemagick mehr auf den Servern bei uns.
    >
    > Das kann man doch sicherlich mit ein paar Zeilen PHP validieren. Man müsste
    > nur wissen wie man den eingeschleusten Code im vermeintlichen "Bild"
    > erkennt und den input file_string validieren. Das sollte ja nicht so schwer
    > zu erkennen sein.
    >
    > Wenn etwas drin ist was auf eine Routine schliesst statt auf übliche
    > Bilddaten -> Upload verweigern.
    >
    > Das ginge theoretisch bereits mit
    > if(preg_match($_FILES[$index], "/malicous-pattern/") == true) { ...
    > die("You have no power here!"); }

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Software Engineer (m/w/d) Business Intelligence
    Atruvia AG, Münster
  2. BI Data Engineer (m/w/d)
    Vodafone GmbH, Düsseldorf
  3. SAP Inhouse Consultant (m/w/d) Anwendungsberatung und Customizing PP-PI/MM
    Lehmann&Voss&Co. KG, Hamburg Wandsbek
  4. IT-System Engineer (w/m/d) Schwerpunkt Linux-Server
    Computacenter AG & Co. oHG, verschiedene Standorte

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 699€ (Bestpreis)
  2. (u. a. Sandisk SSD Plus 2TB für 140,99€, WD Black SN750 SE 1TB für 110,99€, WD Elements 16TB...
  3. (u. a. Wochenangebote: The Elder Scrolls V: Skyrim Special Edition für 18,99€, Devil May Cry 5...
  4. (u. a. MacBook Pro 14,2 Zoll M1 Pro 10‑Core CPU 16‑Core GPU 16GB 1 TB SSD für 2.749€ - ab...


Haben wir etwas übersehen?

E-Mail an news@golem.de


New World im Test: Amazon liefert ordentlich Abenteuer
New World im Test
Amazon liefert ordentlich Abenteuer

Konkurrenz für World of Warcraft und Final Fantasy 14: Amazon Games macht mit dem PC-MMORPG New World momentan vor allem Sammler glücklich.
Von Peter Steinlechner

  1. New World Exploit macht Spieler unbesiegbar und unbeweglich
  2. New World Kommunikations-Bug wird für einige Spieler zu Katastrophe
  3. Amazon Games New World meldet inaktive Spieler ab

Minidisc gegen DCC: Der vergessene Formatkrieg der 90er-Jahre
Minidisc gegen DCC
Der vergessene Formatkrieg der 90er-Jahre

Vor 30 Jahren hat Sony die Minidisc als Nachfolger der Kompaktkassette angekündigt - und Philips die Digital Compact Cassette. Dass sich an diese nur noch Geeks erinnern, hat Gründe.
Von Tobias Költzsch


    Datenschutz: Google weiß fast alles - aber nicht über mich
    Datenschutz
    Google weiß fast alles - aber nicht über mich

    Die E-Mail, der Browser, die Suchmaschine: alles von Google - das muss nicht sein. Wie ich seit 15 Jahren ohne Google lebe und warum das wichtig ist.
    Ein Erfahrungsbericht von Moritz Tremmel

    1. Klage Google soll E-Privacy und Werbemarkt manipuliert haben
    2. Android Google senkt weitere Play-Store-Gebühren
    3. Silifuzz Google sucht und findet per Fuzzing CPU-Fehler