Я прошу, если PECL imagick extension также уязвим для новой очень важной проблемы безопасности ImageMagick (отметьте here и here). Это расширение просто с помощью средства ImageMagick через оболочку тоже?Является ли расширение PICL imagick уязвимым для новой проблемы безопасности ImageMagick?
1
A
ответ
2
Да.
Imagick PECL является привязкой PHP к C-API MagickWand. Он не вызывает сеанс оболочки, но уязвим к проблемам безопасности делегата - точно так же.
Обновить policy.xml
в соответствии с рекомендацией уведомления.
редактирования для завершения
Как обновляемой policy.xml
(YMMV)
Найдите общий путь ImageMagick по системе.
$ identify -list configure | grep SHARE #=> SHARE_PATH /usr/share/ImageMagick-6
Создание или редактирование
policy.xml
в каталоге предыдущего шага.$ cd /usr/share/ImageMagick-6 $ sudo cat > policy.xml <<EOF <policymap> <policy domain="coder" rights="none" pattern="EPHEMERAL" /> <policy domain="coder" rights="none" pattern="HTTPS" /> <policy domain="coder" rights="none" pattern="MVG" /> <policy domain="coder" rights="none" pattern="MSL" /> <policy domain="coder" rights="none" pattern="TEXT" /> <policy domain="coder" rights="none" pattern="SHOW" /> <policy domain="coder" rights="none" pattern="WIN" /> <policy domain="coder" rights="none" pattern="PLT" /> </policymap> EOF
Проверка политики нагрузок с
identify -list policy
.- Перезагрузите веб-службы, чтобы обеспечить загрузку новых политик.
Чтение раздела безопасности readme для Imagick обычно является хорошей идеей ... https://github.com/mkoppanen/imagick#security – Danack
@Danack: Спасибо, согласен. Я не заметил, что расширение Imagick находится на Github. – Andreas