最新消息:欢迎加入小松的QQ群一起讨论一起学习,本站启用elasticsearch全文检索系统,提供搜索的精确度

ImageMagick被爆高危漏洞

其他分享 440浏览 0评论

昨天收到阿里云的漏洞报告邮件,邮件内容
ImageMagick被爆高危漏洞(CVE-2016-3714),此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。黑客可利用此类漏洞盗取权限窃取数据。由于ImageMagick应用十分广泛,目前已确定Wordpress等知名应用受此漏洞影响。

ImageMagick被爆高危漏洞

影响范围: 

ImageMagick <= 6.9.3-9

当时没有在意,今天早上有收到百度发过来的邮件才开始注意了
漏洞验证方法
若系统中安装使用了ImageMagick,本地执行如下命令:

convert 'https://example.com"|ls "-la' out.png

若ls -la 命令成功执行,说明存在漏洞。未执行ls 命令,并报错,说明不受影响。
百度云测的解决方法
修复建议(临时):
1、由于远程命令执行时,命令代码是包含在图片中上传的,所以在图片上传时需要对图片内容进行检验。
2、Linux临时防护方案 :编辑 /etc/ImageMagick/policy.xml ,在 之间增加以下几行

<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />

3、添加网站至云观测,及时了解网站组件突发/0day漏洞。

现在貌似还没有补丁来修复这个问题,只能在等等,阿里云服务已经不用在担心了云盾已经开始拦截了,阿里云还是挺靠谱的对于我们这种小网站

QQ交流群:136351212

如无特别说明,本站文章皆为原创,若要转载,务必请注明以下原文信息:
转载保留版权:小松博客» ImageMagick被爆高危漏洞
本文链接地址:https://www.phpsong.com/2411.html

fasd 发表我的评论   换个身份
取消评论
表情
木有头像就木有JJ!点这里按步骤申请Gravatar头像吧!