drewnoakes/metadata-extractor

Better handle large memory usage from PNG decompression bombs

Open

#379 aperta il 19 nov 2018

Vedi su GitHub
 (0 commenti) (0 reazioni) (0 assegnatari)Java (470 fork)batch import
format-pnghelp wantedimage-queue

Metriche repository

Star
 (2411 star)
Metriche merge PR
 (Nessuna PR mergiata in 30 g)

Descrizione

PNG makes use of deflate allowing potentially a lot of data packed into a small image file.

This especially can be exploited in the ancillary chunks where repeated bytes compress very well. LibPNG has an article around it here

One suggestion is to allow memory limits on processing some of the ancillary chunks like zTXt.

Maybe there is a way to limit this in the metadata extractor project?

for e.g in PngMetadataReader currently it inflates and reads all bytes to one giant buffer (via StreamUtil.readAllBytes) without first considering how big this buffer might be. This allows specially crafted images to potentially cause OOM errors on any project using the metadata extractor.

else if (chunkType.equals(PngChunkType.zTXt)) {
   ....
                    textBytes = StreamUtil.readAllBytes(new InflaterInputStream(new ByteArrayInputStream(bytes, bytes.length - bytesLeft, bytesLeft)));
                } catch(java.util.zip.ZipException zex) {
                    textBytes = null;
                    PngDirectory directory = new PngDirectory(PngChunkType.zTXt);
                    directory.addError(String.format("Exception decompressing PNG zTXt chunk with keyword \"%s\": %s", keyword, zex.getMessage()));
                    metadata.addDirectory(directory);
                }
          ....

Here is an example image below, which is only 700 KB but if the zTxt chunks are decompressed will come to around 250 MB. largeztxtchunk

Guida contributor

Direzione di ricerca
Indaga sulla classe PngMetadataReader, in particolare sulla gestione del chunk zTXt. Modifica il codice per limitare la dimensione del buffer decompresso, magari utilizzando un InputStream personalizzato che controlla la dimensione prima di leggere tutti i byte. Considera anche di applicare limiti simili ad altri chunk ausiliari come iTXt e tEXt. Testa con l'immagine di esempio fornita per verificare che la correzione prevenga l'OOM.
Tech stack
java
Dominio
securityperformance
Tipo issue
Bug
DifficoltàQuanto dovrebbe essere impegnativa per un nuovo contributor.
3
Tempo stimatoTempo stimato per completare e verificare uno scope piccolo.
1-2 giorni
Stato attivitàQuanto è probabile che la issue sia ancora attiva e reviewable.
Datata
ChiarezzaQuanto chiaramente la issue descrive problema, scope e risultato atteso.
Abbastanza chiara
Prerequisiti
Javabasic understanding of PNG formatfamiliarity with ZipInputStream
Adatta ai principiantiQuanto la issue è adatta a contributor alla prima esperienza.
40