Я прошу, если PECL imagick extension также уязвим для новой очень важной проблемы безопасности ImageMagick (отметьте here и here). Это расширение просто с помощью средства ImageMagick через оболочку тоже?Является ли расширение PICL imagick уязвимым для новой проблемы безопасности ImageMagick?
Да.
Imagick PECL является привязкой PHP к C-API MagickWand. Он не вызывает сеанс оболочки, но уязвим к проблемам безопасности делегата - точно так же.
policy.xml в соответствии с рекомендацией уведомления.редактирования для завершения
Как обновляемой policy.xml (YMMV)
Найдите общий путь ImageMagick по системе.
$ identify -list configure | grep SHARE
#=> SHARE_PATH /usr/share/ImageMagick-6
Создание или редактирование policy.xml в каталоге предыдущего шага.
$ cd /usr/share/ImageMagick-6
$ sudo cat > policy.xml <<EOF
<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
<policy domain="coder" rights="none" pattern="TEXT" />
<policy domain="coder" rights="none" pattern="SHOW" />
<policy domain="coder" rights="none" pattern="WIN" />
<policy domain="coder" rights="none" pattern="PLT" />
</policymap>
EOF
Проверка политики нагрузок с identify -list policy.
Чтение раздела безопасности readme для Imagick обычно является хорошей идеей ... https://github.com/mkoppanen/imagick#security – Danack
@Danack: Спасибо, согласен. Я не заметил, что расширение Imagick находится на Github. – Andreas