链接:https://zhuanlan.zhihu.com/p/20851919
来源:知乎
著作权归作者所有。商业转载请联系作者得到授权,非商业转载请注明出处。
启明星辰积极防御实验室发布
ADLab安全通知布告:图像处理软件ImageMagick存在远程代码实行漏洞
一、漏洞事宜
5月3日,图像处理软件ImageMagick被公布存在一个严重的0day漏洞(CVE-2016-3714),攻击者通过此漏洞可实行任意命令,终极盗取主要信息取得做事器掌握权。
二、漏洞剖析
ImageMagick 在通过MagickCore/constitute.c 的 ReadImage 函数中解析图片时,利用 system() 指令调用来处理 HTTPS 要求,而对用户传入的 shell 参数没有做好过滤,导致此漏洞形成。
三、影响范围
ImageMagick是一款盛行的图像处理软件,支持多种编程措辞,包括Perl、C++、PHP、Python、Ruby和NodeJS等。此漏洞可影响浩瀚网站、博客、社交媒体平台和内容管理系统(CMS),例如WordPress、Drupal等各种可上传图片的网站,特殊是可批量裁剪图片的网站。对企业用户威胁较大。
四、修复建议
目前,ImageMagick官方尚未针对此漏洞发布安全补丁,但此漏洞表露后,漏洞的EXP即被发布,并已通过邮件和论坛广泛传播。
启明星辰ADLab提醒广大用户,如果您在网站中利用了ImageMagick去识别、裁剪、或者调度用户上传的图像,请务必确认已经采纳了以下缓解方法:
1、文件发送给ImageMagick处理之前,检讨文件的magic bytes,只接管有效的图像文件;
2、在配置文件policy.xml中添加以下配置策略,以缓解攻击。
主要网站建议进一步确认是否已经被上传了后门。
参考链接:
1. ImageTragick
2. GitHub - ImageTragick/PoCs: Proof of Concepts for CVE-2016
