私たちのサーバーはランサムウェアに悪用されました。管理者はPDF、docx、Excelなどをアップロードできます。画像やSVGもアップロードできます。
そして dragonfly を使用して、サポートされているファイルのサムネイルを生成します。
感染した画像をサーバーにアップロードするとします。
Imagemagickを使用して画像のサイズを変更する場合、ファイルは実行中ですか、それとも読み取り中ですか?サイズ変更はサーバーのセキュリティを危険にさらすことができますか?
画像処理ツールのコードにバグがない限り、画像は読み取られるだけで、画像のどこかにあるコードは実行されません。しかし、過去には、コードの実行につながる画像処理コードにバグがあったことに注意してください(例 libjpegのこのバグ )。したがって、安全を確保するためには、サンドボックスのような制限された環境で画像を操作する必要があります。