ImageMagick Security
Proverite dodatne detalje na https://blog.doyensec.com/2023/01/10/imagemagick-security-policy-evaluator.html
ImageMagick, svestrana biblioteka za obradu slika, predstavlja izazov u konfigurisanju svoje bezbednosne politike zbog svojih brojnih opcija i nedostatka detaljne online dokumentacije. Korisnici često kreiraju politike na osnovu fragmentiranih internet izvora, što može dovesti do potencijalnih grešaka u konfiguraciji. Biblioteka podržava veliki broj od preko 100 formata slika, što doprinosi njenoj kompleksnosti i profilu ranjivosti, kao što su pokazali istorijski bezbednosni incidenti.
Ka bezbednijim politikama
Da bi se rešili ovi izazovi, razvijen je alat koji pomaže u dizajniranju i proveri bezbednosnih politika ImageMagick-a. Ovaj alat se temelji na obimnom istraživanju i ima za cilj da osigura da politike budu ne samo robusne, već i bez propusta koji bi mogli biti iskorišćeni.
Pristup dozvoljenih i zabranjenih stavki
Istoriski, ImageMagick politike su se oslanjale na pristup zabranjenih stavki, gde su određeni kodovi bili zabranjeni. Međutim, promene u ImageMagick 6.9.7-7 su promenile ovaj paradigmu, omogućavajući pristup dozvoljenih stavki. Ovaj pristup prvo zabranjuje sve kodere, a zatim selektivno omogućava pristup pouzdanim, poboljšavajući bezbednost.
Case Sensitivity in Policies
Važno je napomenuti da su obrasci politika u ImageMagicku osetljivi na velika i mala slova. Stoga je od vitalnog značaja da se kodovi i moduli pravilno koriste velikim slovima u politikama kako bi se sprečile neželjene dozvole.
Ograničenja resursa
ImageMagick je podložan napadima uskraćivanja usluge ako nije pravilno konfigurisan. Postavljanje eksplicitnih ograničenja resursa u politici je ključno kako bi se sprečile takve ranjivosti.
Fragmentacija politika
Politike mogu biti fragmentirane na različitim instalacijama ImageMagicka, što može dovesti do potencijalnih konflikata ili prebrisavanja. Preporučuje se pronalaženje i provera aktivnih datoteka politika korišćenjem komandi poput:
Početna, restriktivna politika
Predložen je šablon restriktivne politike koji se fokusira na stroge ograničenja resursa i kontrolu pristupa. Ovaj šablon služi kao osnova za razvoj prilagođenih politika koje se usklađuju sa specifičnim zahtevima aplikacije.
Efektivnost sigurnosne politike može se potvrditi korišćenjem komande identify -list policy
u ImageMagick-u. Dodatno, alat evaluator koji je ranije pomenut može se koristiti za usavršavanje politike na osnovu individualnih potreba.
Reference
Last updated