senooken JP Social
  • FAQ
  • Login
senooken JP Socialはsenookenの専用分散SNSです。

  • Public

    • Public
    • Network
    • Groups
    • Popular
    • People

Conversation

Notices

  1. yule / imori (pelcman@v1x3n.net)'s status on Friday, 19-Oct-2018 14:50:13 JST yule / imori yule / imori

    ?
    画像の変換周りを担当している ImageMagick君というのがいる。(ヤベー数のフォーマットに対応している上に無限に脆弱性がある)

    この convert コマンドは基本的に Exif の width と height を見て、変換後の画像ファイルに必要なリソースを確保する(それも実際の画像サイズを無視して)。

    だから、画像サイズがなんだろうが、Exif で嘘のクソデカサイズを教えてあげれば、それに応じたリソース割当が行われる。

    これを制御できるのはImageMagickの設定ファイルの policy.xml だけど、これをちゃんとチューニングしてるところはあまりない。

    本当は画像変換用のサーバを立てるべきなんだけど、大体雑に構築されたインフラはWebサーバの中でImageMagickを実行しているから、ImageMagickを抱えたWebサーバに対してクソデカExifの画像を叩き込むと、大体リソース枯渇して死ぬ。

    In conversation Friday, 19-Oct-2018 14:50:13 JST from v1x3n.net permalink
    • ヒドロ???? and aries@mstdn.asterism.xyz repeated this.

Feeds

  • Activity Streams
  • RSS 2.0
  • Atom
  • Help
  • About
  • FAQ
  • TOS
  • Privacy
  • Source
  • Version
  • Contact

senooken JP Social is a social network, courtesy of senooken. It runs on GNU social, version 2.0.2-beta0, available under the GNU Affero General Public License.

Creative Commons Attribution 3.0 All senooken JP Social content and data are available under the Creative Commons Attribution 3.0 license.