第一話はこちら。
SVGは大丈夫なの?
ImageTragickのPoCは、ImageMagickのSVG解析器でしか動かないようだ。CentOS 5のImageMagickは--with-rsvg付きでビルドされている。つまり、大丈夫なんじゃないかな?
RedHatの緩和策微妙じゃない?
ImageMagick Filtering Vulnerability - CVE-2016-3714のResolveのMitigationのことだよね。うん、これは微妙だ。RHEL 5では使えないし、明示的にHTTPとFTPを禁止している理由が判らない。私がコードを眺めた限りでは、HTTPとFTPはURLが提供しているようだ。やれやれ。
【二〇一六年五月六日追記】
日本時間の五月五日の昼に更新されて、TEXT, LABELというコーダと、@*というパスが禁止されたようだ。気持ちは判らないでもない。
日本時間の五月五日の夜に更新されて、RHEL 5はWill Not Fixになったようだ。RHEL 5のMitigationはコーダの共有リンクライブラリをリネームすることらしい。まあ、そうなるよね。