]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blob - IkiWiki/Plugin/img.pm
Add automated test for using the CGI with git, including CVE-2016-10026
[git.ikiwiki.info.git] / IkiWiki / Plugin / img.pm
1 #!/usr/bin/perl
2 # Ikiwiki enhanced image handling plugin
3 # Christian Mock cm@tahina.priv.at 20061002
4 package IkiWiki::Plugin::img;
6 use warnings;
7 use strict;
8 use IkiWiki 3.00;
10 my %imgdefaults;
12 sub import {
13         hook(type => "getsetup", id => "img", call => \&getsetup);
14         hook(type => "preprocess", id => "img", call => \&preprocess, scan => 1);
15 }
17 sub getsetup () {
18         return
19                 plugin => {
20                         safe => 1,
21                         rebuild => undef,
22                         section => "widget",
23                 },
24                 img_allowed_formats => {
25                         type => "string",
26                         default => [qw(jpeg png gif svg)],
27                         description => "Image formats to process (jpeg, png, gif, svg, pdf or 'everything' to accept all)",
28                         # ImageMagick has had arbitrary code execution flaws,
29                         # and the whole delegates mechanism is scary from
30                         # that perspective
31                         safe => 0,
32                         rebuild => 0,
33                 },
34 }
36 sub allowed {
37         my $format = shift;
38         my $allowed = $config{img_allowed_formats};
39         $allowed = ['jpeg', 'png', 'gif', 'svg'] unless defined $allowed && @$allowed;
41         foreach my $a (@$allowed) {
42                 return 1 if lc($a) eq $format || lc($a) eq 'everything';
43         }
45         return 0;
46 }
48 sub preprocess (@) {
49         my ($image) = $_[0] =~ /$config{wiki_file_regexp}/; # untaint
50         my %params=@_;
52         if (! defined $image) {
53                 error("bad image filename");
54         }
56         if (exists $imgdefaults{$params{page}}) {
57                 foreach my $key (keys %{$imgdefaults{$params{page}}}) {
58                         if (! exists $params{$key}) {
59                                 $params{$key}=$imgdefaults{$params{page}}->{$key};
60                         }
61                 }
62         }
64         if (! exists $params{size} || ! length $params{size}) {
65                 $params{size}='full';
66         }
68         if ($image eq 'defaults') {
69                 $imgdefaults{$params{page}} = \%params;
70                 return '';
71         }
73         add_link($params{page}, $image);
74         add_depends($params{page}, $image);
76         # optimisation: detect scan mode, and avoid generating the image
77         if (! defined wantarray) {
78                 return;
79         }
81         my $file = bestlink($params{page}, $image);
82         my $srcfile = srcfile($file, 1);
83         if (! length $file || ! defined $srcfile) {
84                 return htmllink($params{page}, $params{destpage}, $image);
85         }
87         my $dir = $params{page};
88         my $base = IkiWiki::basename($file);
89         my $extension;
90         my $format;
92         if ($base =~ m/\.([a-z0-9]+)$/is) {
93                 $extension = $1;
94         }
95         else {
96                 error gettext("Unable to detect image type from extension");
97         }
99         # Never interpret well-known file extensions as any other format,
100         # in case the wiki configuration unwisely allows attaching
101         # arbitrary files named *.jpg, etc.
102         my $magic;
103         my $offset = 0;
104         open(my $in, '<', $srcfile) or error sprintf(gettext("failed to read %s: %s"), $file, $!);
105         binmode($in);
107         if ($extension =~ m/^(jpeg|jpg)$/is) {
108                 $format = 'jpeg';
109                 $magic = "\377\330\377";
110         }
111         elsif ($extension =~ m/^(png)$/is) {
112                 $format = 'png';
113                 $magic = "\211PNG\r\n\032\n";
114         }
115         elsif ($extension =~ m/^(gif)$/is) {
116                 $format = 'gif';
117                 $magic = "GIF8";
118         }
119         elsif ($extension =~ m/^(svg)$/is) {
120                 $format = 'svg';
121         }
122         elsif ($extension =~ m/^(pdf)$/is) {
123                 $format = 'pdf';
124                 $magic = "%PDF-";
125         }
126         else {
127                 # allow ImageMagick to auto-detect (potentially dangerous)
128                 $format = '';
129         }
131         error sprintf(gettext("%s image processing disabled in img_allowed_formats configuration"), $format ? $format : "\"$extension\"") unless allowed($format ? $format : "everything");
133         # Try harder to protect ImageMagick from itself
134         if (defined $magic) {
135                 my $content;
136                 read($in, $content, length $magic) or error sprintf(gettext("failed to read %s: %s"), $file, $!);
137                 if ($magic ne $content) {
138                         error sprintf(gettext("\"%s\" does not seem to be a valid %s file"), $file, $format);
139                 }
140         }
142         my $ispdf = $base=~s/\.pdf$/.png/i;
143         my $pagenumber = exists($params{pagenumber}) ? int($params{pagenumber}) : 0;
144         if ($pagenumber != 0) {
145                 $base = "p$pagenumber-$base";
146         }
148         my $imglink;
149         my $imgdatalink;
150         my ($dwidth, $dheight);
152         my ($w, $h);
153         if ($params{size} ne 'full') {
154                 ($w, $h) = ($params{size} =~ /^(\d*)x(\d*)$/);
155         }
157         if ($format eq 'svg') {
158                 # svg images are not scaled using ImageMagick because the
159                 # pipeline is complex. Instead, the image size is simply
160                 # set to the provided values.
161                 #
162                 # Aspect ratio will be preserved automatically when
163                 # only a width or only a height is specified.
164                 # When both are specified, aspect ratio will not be
165                 # preserved.
166                 $imglink = $file;
167                 $dwidth = $w if length $w;
168                 $dheight = $h if length $h;
169         }
170         else {
171                 eval q{use Image::Magick};
172                 error gettext("Image::Magick is not installed") if $@;
173                 my $im = Image::Magick->new();
174                 my $r = $im->Read("$format:$srcfile\[$pagenumber]");
175                 error sprintf(gettext("failed to read %s: %s"), $file, $r) if $r;
177                 if (! defined $im->Get("width") || ! defined $im->Get("height")) {
178                         error sprintf(gettext("failed to get dimensions of %s"), $file);
179                 }
181                 if (! length $w && ! length $h) {
182                         $dwidth = $im->Get("width");
183                         $dheight = $im->Get("height");
184                 } else {
185                         error sprintf(gettext('wrong size format "%s" (should be WxH)'), $params{size})
186                                 unless (defined $w && defined $h &&
187                                         (length $w || length $h));
189                         if ($im->Get("width") == 0 || $im->Get("height") == 0) {
190                                 ($dwidth, $dheight)=(0, 0);
191                         } elsif (! length $w || (length $h && $im->Get("height")*$w > $h * $im->Get("width"))) {
192                                 # using height because only height is given or ...
193                                 # because original image is more portrait than $w/$h
194                                 # ... slimness of $im > $h/w
195                                 # ... $im->Get("height")/$im->Get("width") > $h/$w
196                                 # ... $im->Get("height")*$w > $h * $im->Get("width")
198                                 $dheight=$h;
199                                 $dwidth=$h / $im->Get("height") * $im->Get("width");
200                         } else { # (! length $h) or $w is what determines the resized size
201                                 $dwidth=$w;
202                                 $dheight=$w / $im->Get("width") * $im->Get("height");
203                         }
204                 }
206                 if ($dwidth < $im->Get("width") || $ispdf) {
207                         # resize down, or resize to pixels at all
209                         my $outfile = "$config{destdir}/$dir/$params{size}-$base";
210                         $imglink = "$dir/$params{size}-$base";
212                         will_render($params{page}, $imglink);
214                         if (-e $outfile && (-M $srcfile >= -M $outfile)) {
215                                 $im = Image::Magick->new;
216                                 $r = $im->Read($outfile);
217                                 error sprintf(gettext("failed to read %s: %s"), $outfile, $r) if $r;
218                         }
219                         else {
220                                 $r = $im->Resize(geometry => "${dwidth}x${dheight}");
221                                 error sprintf(gettext("failed to resize: %s"), $r) if $r;
223                                 $im->set($ispdf ? (magick => 'png') : ());
224                                 my @blob = $im->ImageToBlob();
225                                 # don't actually write resized file in preview mode;
226                                 # rely on width and height settings
227                                 if (! $params{preview}) {
228                                         writefile($imglink, $config{destdir}, $blob[0], 1);
229                                 }
230                                 else {
231                                         eval q{use MIME::Base64};
232                                         error($@) if $@;
233                                         $imgdatalink = "data:image/".$im->Get("magick").";base64,".encode_base64($blob[0]);
234                                 }
235                         }
237                         # always get the true size of the resized image (it could be
238                         # that imagemagick did its calculations differently)
239                         $dwidth  = $im->Get("width");
240                         $dheight = $im->Get("height");
241                 } else {
242                         $imglink = $file;
243                 }
245                 if (! defined($dwidth) || ! defined($dheight)) {
246                         error sprintf(gettext("failed to determine size of image %s"), $file)
247                 }
248         }
250         my ($fileurl, $imgurl);
251         my $urltobase = $params{preview} ? undef : $params{destpage};
252         $fileurl=urlto($file, $urltobase);
253         $imgurl=$imgdatalink ? $imgdatalink : urlto($imglink, $urltobase);
255         if (! exists $params{class}) {
256                 $params{class}="img";
257         }
259         my $attrs='';
260         foreach my $attr (qw{alt title class id hspace vspace}) {
261                 if (exists $params{$attr}) {
262                         $attrs.=" $attr=\"$params{$attr}\"";
263                 }
264         }
265         
266         my $imgtag='<img src="'.$imgurl.'"';
267         $imgtag.=' width="'.$dwidth.'"' if defined $dwidth;
268         $imgtag.=' height="'.$dheight.'"' if defined $dheight;
269         $imgtag.= $attrs.
270                 (exists $params{align} && ! exists $params{caption} ? ' align="'.$params{align}.'"' : '').
271                 ' />';
273         my $link;
274         if (! defined $params{link}) {
275                 $link=$fileurl;
276         }
277         elsif ($params{link} =~ /^\w+:\/\//) {
278                 $link=$params{link};
279         }
281         if (defined $link) {
282                 $imgtag='<a href="'.$link.'">'.$imgtag.'</a>';
283         }
284         else {
285                 my $b = bestlink($params{page}, $params{link});
286         
287                 if (length $b) {
288                         add_depends($params{page}, $b, deptype("presence"));
289                         $imgtag=htmllink($params{page}, $params{destpage},
290                                 $params{link}, linktext => $imgtag,
291                                 noimageinline => 1,
292                         );
293                 }
294         }
296         if (exists $params{caption}) {
297                 return '<table class="img'.
298                         (exists $params{align} ? " align-$params{align}" : "").
299                         '">'.
300                         '<caption>'.$params{caption}.'</caption>'.
301                         '<tr><td>'.$imgtag.'</td></tr>'.
302                         '</table>';
303         }
304         else {
305                 return $imgtag;
306         }