web-dev-qa-db-fra.com

Redimensionnera une image exécuter le fichier?

Notre serveur a été exploité par un ransomware. Nous permettons aux administrateurs de télécharger pdf, DOCX, Excel, etc. Mais aussi des images et SVG.

Et nous utilisons libellule pour générer des vignettes sur ces fichiers pris en charge.

Disons que je télécharge une image infectée sur le serveur.

Lorsque vous redimensionnez les images avec ImageMagick, les fichiers sont-ils exécutés ou simplement lus? Un redimensionner peut-il compromettre la sécurité d'un serveur?

12
Philip

À moins que vous n'ayez un bogue dans votre code d'outils de traitement d'image, l'image est uniquement lue et aucun code exécuté qui pourrait résider quelque part dans l'image. Mais noter que, dans le passé, il y avait des bugs dans le code de manutention d'image qui conduisent à l'exécution de code, par exemple ce bogue dans libjourg . Ainsi, pour être du côté plus sûr, vous devriez faire votre manipulation d'image dans un environnement restreint, comme une sorte de bac à sable.

25
Steffen Ullrich