Ελέγξτε περαιτέρω λεπτομέρειες στο https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html

Το ImageMagick, μια ευέλικτη βιβλιοθήκη επεξεργασίας εικόνας, αντιμετωπίζει προκλήσεις στην ρύθμιση της πολιτικής ασφαλείας του λόγω των εκτεταμένων επιλογών του και της έλλειψης λεπτομερούς online τεκμηρίωσης. Οι χρήστες συχνά δημιουργούν πολιτικές βασιζόμενοι σε κατακερματισμένες πηγές στο διαδίκτυο, με αποτέλεσμα πιθανές λανθασμένες ρυθμίσεις. Η βιβλιοθήκη υποστηρίζει μια μεγάλη ποικιλία από πάνω από 100 μορφές εικόνας, καθεμία από τις οποίες συντελεί στην πολυπλοκότητα και το προφίλ ευπάθειας της, όπως αποδεικνύεται από ιστορικά περιστατικά ασφαλείας.

Προς ασφαλέστερες πολιτικές

Για να αντιμετωπιστούν αυτές οι προκλήσεις, έχει αναπτυχθεί ένα εργαλείο που βοηθά στο σχεδιασμό και τον έλεγχο των πολιτικών ασφαλείας του ImageMagick. Αυτό το εργαλείο βασίζεται σε εκτεταμένη έρευνα και στοχεύει να εξασφαλίσει όχι μόνο ροπή ασφάλειας αλλά και απουσία κενών που θα μπορούσαν να εκμεταλλευτούνται.

Προσέγγιση λίστας επιτρεπόμενων έναντι λίστας αποκλεισμένων

Ιστορικά, οι πολιτικές του ImageMagick βασίζονταν σε μια προσέγγιση αποκλεισμού, όπου συγκεκριμένοι κωδικοποιητές αποκλείονταν από την πρόσβαση. Ωστόσο, οι αλλαγές στο ImageMagick 6.9.7-7 άλλαξαν αυτό το παράδειγμα, επιτρέποντας μια προσέγγιση λίστας επιτρεπόμενων. Αυτή η προσέγγιση αρχικά αποκλείει όλους τους κωδικοποιητές και στη συνέχεια επιτρέπει εκλεκτικά την πρόσβαση σε αξιόπιστους, βελτιώνοντας την ασφάλεια.

...
<policy domain="coder" rights="none" pattern="*" />
<policy domain="coder" rights="read | write" pattern="{GIF,JPEG,PNG,WEBP}" />
...

Ευαισθησία στην περίπτωση των πολιτικών

Είναι ζωτικής σημασίας να σημειωθεί ότι οι πρότυποι πολιτικής στο ImageMagick είναι ευαίσθητοι στην περίπτωση. Επομένως, είναι απαραίτητο να εξασφαλίζεται ότι οι κωδικοί και οι ενότητες είναι σωστά γραμμένοι με κεφαλαία γράμματα στις πολιτικές, προκειμένου να αποφεύγονται ανεπιθύμητες άδειες.

Όρια πόρων

Το ImageMagick είναι ευάλωτο σε επιθέσεις απόρριψης υπηρεσίας εάν δεν ρυθμιστεί σωστά. Η ορισμένη ρύθμιση όρων πόρων στην πολιτική είναι απαραίτητη για την πρόληψη τέτοιων ευπαθειών.

Διάσπαση πολιτικής

Οι πολιτικές μπορεί να είναι διασπασμένες σε διάφορες εγκαταστάσεις του ImageMagick, προκαλώντας πιθανές συγκρούσεις ή αντικαταστάσεις. Συνιστάται να εντοπίζονται και να επαληθεύονται τα ενεργά αρχεία πολιτικής χρησιμοποιώντας εντολές όπως:

$ find / -iname policy.xml

Ένα Αρχικό, Περιοριστικό Πολιτικής

Έχει προταθεί ένα πρότυπο περιοριστικής πολιτικής, με έμφαση σε αυστηρούς περιορισμούς πόρων και ελέγχους πρόσβασης. Αυτό το πρότυπο λειτουργεί ως βάση για την ανάπτυξη προσαρμοσμένων πολιτικών που συμμορφώνονται με τις συγκεκριμένες απαιτήσεις της εφαρμογής.

Η αποτελεσματικότητα μιας πολιτικής ασφαλείας μπορεί να επιβεβαιωθεί χρησιμοποιώντας την εντολή identify -list policy στο ImageMagick. Επιπλέον, το εργαλείο αξιολόγησης που αναφέρθηκε προηγουμένως μπορεί να χρησιμοποιηθεί για τη βελτίωση της πολιτικής βάσει των ατομικών αναγκών.

Αναφορές

• https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html**