Bug 47268 - Нужно обновить пакет ImageMagick с целью закрыть CVE-2022-44268
Summary: Нужно обновить пакет ImageMagick с целью закрыть CVE-2022-44268
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: ImageMagick (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Anton Farygin
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2023-08-16 22:48 MSK by FelixZ
Modified: 2023-08-17 11:11 MSK (History)
12 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description FelixZ 2023-08-16 22:48:34 MSK 
Здесь описано решение:
https://github.com/ImageMagick/ImageMagick/discussions/6027
Проблема, связанная со встраиванием «-» в файл PNG.
Но если добавить 
<policy domain="path" rights="none" pattern="-"/>
в policy.xml
вся поддержка каналов будет отключена. 

В ImageMagick версии 6.9.12-76 больше не реагирует на «-», встроенный в профиль.
Убедитесь, что вы заблокировали конфиденциальные пути и отключили непрямое чтение, чтобы защитить параметр CLI профиля -set.

Исходя из этого, думаю следует обновить пакет. В апстриме самая свежая версия 6.9.12-93 https://github.com/ImageMagick/ImageMagick6/tags
Comment 1 Anton Farygin 2023-08-17 11:11:34 MSK 
Спасибо. отправил в репозиторий