1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Imagetragick: Bug in Bildverarbeitung…

soweit ich weiss

  1. Thema

Neues Thema Ansicht wechseln


  1. soweit ich weiss

    Autor: oldathen 10.05.16 - 15:29

    gibt es auch noch keinen Patch. Eher die Workarounds mit der Policy Datei. Und bis das nicht richtig abgedichtet ist gibt es solange auch kein Imagemagick mehr auf den Servern bei uns.

  2. Re: soweit ich weiss

    Autor: hg (Golem.de) 10.05.16 - 15:33

    Im Changelog gibt es mehrere aktuelle Patches, die wohl jeweils Teile des Problems beheben sollen. Genaue Informationen gibt es aber leider nicht. Der Workaround mit der Policy-Datei ist aber auf jeden Fall nach wie vor zu empfehlen.

    VG,

    Hauke Gierow - Golem.de

  3. Re: soweit ich weiss

    Autor: Andre S 10.05.16 - 15:41

    oldathen schrieb:
    --------------------------------------------------------------------------------
    > gibt es auch noch keinen Patch. Eher die Workarounds mit der Policy Datei.
    > Und bis das nicht richtig abgedichtet ist gibt es solange auch kein
    > Imagemagick mehr auf den Servern bei uns.


    Das kann man doch sicherlich mit ein paar Zeilen PHP validieren. Man müsste nur wissen wie man den eingeschleusten Code im vermeintlichen "Bild" erkennt und den input file_string validieren. Das sollte ja nicht so schwer zu erkennen sein.

    Wenn etwas drin ist was auf eine Routine schliesst statt auf übliche Bilddaten -> Upload verweigern.

    Das ginge theoretisch bereits mit
    if(preg_match($_FILES[$index], "/malicous-pattern/") == true) { ... die("You have no power here!"); }



    2 mal bearbeitet, zuletzt am 10.05.16 15:42 durch Andre S.

  4. Re: soweit ich weiss

    Autor: merodac 10.05.16 - 16:17

    ist aber performancemässig eher ein bissl horror, alles doppelt scannen zu müssen.

  5. Re: soweit ich weiss

    Autor: TheUnichi 10.05.16 - 17:01

    Andre S schrieb:
    --------------------------------------------------------------------------------
    > Das ginge theoretisch bereits mit
    > if(preg_match($_FILES[$index], "/malicous-pattern/") == true) { ...
    > die("You have no power here!"); }

    Notice: Undefined index: {$index}
    (Niemals isset() oder empty() vergessen)

    Notice: Array to string conversion
    ($_FILES ist multidimensional)

    ggf. würde auch ein strpos() schon reichen.
    preg_match wirft btw. in keinem Fall "true" zurück, wenn dann "1". Wird dank loosely typed equals gehen, ist aber grundsätzlich falsch.

  6. Re: soweit ich weiss

    Autor: Daniel Ruf 10.05.16 - 23:55

    das wird mit der Zeit immer komplexer, da es weitere Payloads gibt und entsprechend Signaturen benötigt werden

    solche Überprüfungen von Dateiuploads macht zB phpMussel, was ClamAV-Signaturen und eigene Signaturen nutzt https://github.com/Maikuolan/phpMussel

    Andre S schrieb:
    --------------------------------------------------------------------------------
    > oldathen schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > gibt es auch noch keinen Patch. Eher die Workarounds mit der Policy
    > Datei.
    > > Und bis das nicht richtig abgedichtet ist gibt es solange auch kein
    > > Imagemagick mehr auf den Servern bei uns.
    >
    > Das kann man doch sicherlich mit ein paar Zeilen PHP validieren. Man müsste
    > nur wissen wie man den eingeschleusten Code im vermeintlichen "Bild"
    > erkennt und den input file_string validieren. Das sollte ja nicht so schwer
    > zu erkennen sein.
    >
    > Wenn etwas drin ist was auf eine Routine schliesst statt auf übliche
    > Bilddaten -> Upload verweigern.
    >
    > Das ginge theoretisch bereits mit
    > if(preg_match($_FILES[$index], "/malicous-pattern/") == true) { ...
    > die("You have no power here!"); }

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SySS GmbH, Tübingen
  2. AKDB, München, Augsburg, Bayreuth, Regensburg, Würzburg
  3. Allianz Versicherungs-AG, München Unterföhring
  4. T e b i s Technische Informationssysteme AG, Martinsried bei München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Total War Promo: Warhammer 2 für 16,99€, Three Kingdoms für 37,99€, Attila für 11...
  2. 72,90€ (Bestpreis!)
  3. (aktuell u. a. NZXT gläsernes Tower-Gehäuse für 99,90€, Lenovo Thinkpad T440, generalüberholt...
  4. (u. a. Nomis, Escape Plan 2, Anon, The Boy, Der unsichtbare Gast, The Punisher - Uncut)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektroautos: Die elektrischste Tiefgarage Deutschlands
Elektroautos
Die elektrischste Tiefgarage Deutschlands

Was muss passieren, damit in zehn Jahren fast jeder in der Tiefgarage sein Elektroauto laden kann? Ein Pilotprojekt bei Stuttgart soll herausfinden, welcher Aufwand auf Netzbetreiber und Eigentümer und Mieter zukommen könnte.
Ein Bericht von Friedhelm Greis

  1. Kabinenroller Microlino 2.0 und dreirädriger E-Motoroller Microletta geplant
  2. Crowdfunding Sono Motors baut vier Prototypen seines Elektroautos
  3. Renault Elektro-Twingo soll nicht schnellladefähig sein

Grünheide: Umweltbewegung agiert bei Tesla-Fabrik unglücklich
Grünheide
Umweltbewegung agiert bei Tesla-Fabrik unglücklich

Es gibt gute Gründe, die Elektromobilität nicht nur unkritisch zu bejubeln. Einige Umweltverbände und Klimaaktivisten machen im Fall der Tesla-Fabrik in Grünheide dabei aber keine besonders gute Figur.
Ein IMHO von Hanno Böck

  1. Gigafactory Berlin Der "Tesla-Wald" ist fast gefällt
  2. Grünheide Tesla darf Wald weiter roden
  3. Gigafactory Grüne kritisieren Grüne Liga wegen Baumfällstopp für Tesla

Login-Dienste: Wer von der Klarnamenpflicht profitieren könnte
Login-Dienste
Wer von der Klarnamenpflicht profitieren könnte

Immer wieder bringen Politiker einen Klarnamenzwang oder eine Identifizierungspflicht für Nutzer im Internet ins Spiel. Doch welche Anbieter könnten von dieser Pflicht am ehesten einen Vorteil erzielen?
Eine Analyse von Friedhelm Greis

  1. Europäische Netzpolitik Die Rückkehr des Axel Voss
  2. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  3. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

  1. Apple TV+: Tim Cook ist von Abozahlen begeistert
    Apple TV+
    Tim Cook ist von Abozahlen begeistert

    Apple will weiterhin keine Zahlen zu den Kunden von Apple TV+ nennen. Auf der Jahreshauptversammlung der Aktionäre sprach Tim Cook nur von einem tollen Start des Dienstes. Außerdem ging der Apple-Chef auf das von Warner geplante Special zur Kultserie Friends ein.

  2. Covid-19: Smartphone-Markt schrumpft wegen Coronavirus
    Covid-19
    Smartphone-Markt schrumpft wegen Coronavirus

    Das Coronavirus hat besonders in China zu vorübergehenden Fabrikschließungen und einem wirtschaftlichen Stillstand geführt. Das hat sich besonders auf Smartphone-Hersteller und ihre Zulieferer ausgewirkt: Analysten rechnen mit einem merklichen Markteinbruch.

  3. Nutzerdaten: Wie eng sollen Konzerne mit Ermittlern zusammenarbeiten?
    Nutzerdaten
    Wie eng sollen Konzerne mit Ermittlern zusammenarbeiten?

    Auch wenn es weitgehend unbekannt ist: Facebook und Google dürfen schon jetzt direkt und schnell Daten an deutsche Behörden aushändigen. In Zukunft könnte das verpflichtend werden - auch in die umgekehrte Richtung. Das hilft Ermittlern, ist aber gefährlich.


  1. 10:38

  2. 10:23

  3. 09:00

  4. 08:33

  5. 08:00

  6. 07:39

  7. 07:00

  8. 22:00