Эквивалент файла policy.xml с GraphicsMagick для борьбы с пиксельной атакой DOS

Question

Некоторые уязвимости с помощью ImageMagick устраняются с помощью файла policy.xml.Я хотел бы знать, могу ли я сделать то же самое с GraphicsMagick.

В частности, рассмотрим эксплойт пиксельная атака .Этот эксплойт включает в себя указание чрезвычайно большого значения пикселя в кодировке самого изображения (малого / обычного размера), так что, когда декодер пытается выделить память для всего изображения, он занимает всю память и приводит к атаке с использованием dos.Сообщалось, что для другого приложения (скрепки) эта же методика легко применима к ImageMagick или GraphicsMagick.

ImageMagick рекомендует избегать подобного рода атак с помощью файла policy.xml .Как бороться с этой проблемой в GraphicsMagick?Или GraphicsMagick как-то невосприимчив к этому?Пожалуйста, объясни.

Answer 1

GraphicsMagick не имеет или не распознает файл policy.xml.

Для выполнения таких задач, как установка максимального объема памяти и т. Д., Можно установить переменные среды программного обеспечения.Выполнение команды gm convert -list resources покажет обзор текущих выделений в следующем формате:

Resource Limits (Q16, 64 bits/pixel, 64bit address)
 Disk:  Unlimited (MAGICK_LIMIT_DISK)
Files:        256 (MAGICK_LIMIT_FILES)
  Map:    15.6GiB (MAGICK_LIMIT_MAP)
Memory: 7.8GiB (MAGICK_LIMIT_MEMORY)
Pixels: Unlimited (MAGICK_LIMIT_PIXELS)
Threads: 4 (OMP_NUM_THREADS)
Width: 256.0MiP (MAGICK_LIMIT_WIDTH)
Height: 256.0MiP (MAGICK_LIMIT_HEIGHT)

Термины, выделенные жирным шрифтом в конце, обозначают имя фактической переменной среды, которую можно установитьвведя команду типа env MAGICK_LIMIT_MEMORY=200mb

Источник: обсуждение на форуме GraphicsMagick