Разработчики GraphicsMagick проанализировали подверженность уязвимостям ImageMagick
Разработчики проекта GraphicsMagick, ответвившегося от ImageMagick в 2002 году, опубликовали результаты анализа критических уязвимостей, недавно выявленных в ImageMagick. Отмечается, что несмотря на дополнительные проверки аргументов и неподверженность атаке через манипуляции с файлами в формате MVG, GraphicsMagick оказался уязвим при применении немного измененного вектора атаки.
Атака по организации выполнения произвольных shell-команд может быть организована в GraphicsMagick через файлы в формате "gplt", которые обрабатывается через запуск gnuplot, вызываемый при помощи функции system() с группировкой аргументов в одной строке. Для блокирования атаки достаточно удалить запись "gplt" в файле delegates.mgk.
GraphicsMagick также подвержен проблемам с обработкой MVG на основании заголовков (MVG будет обработан даже если файл поставляется в.jpg или с любым другим расширением). Также отмечается подверженность уязвимостям CVE-2016-3718 (инициирования внешних запросов HTTP GET или FTP) и CVE-2016-3715 ( удаление файлов при обработке специально оформленных изображений).
