ImageMagick 曝重大漏洞,上传图片即可植入木马

前言

这里的前言是废话,要看重点直接看解决方法。(只是为了告诉你重要性)

做 Discuz 和 PhpWind 这样的论坛的网站都会较大规模的应用到 验证码、水印、图片裁剪等 功能,一般来说操作一多、一复杂、访问一多 GD 库就会撑不住,所以我们需要更好的 ImageMagick。 不过,这次么 ImageMagick 爆漏洞了,而且严重程度时可以控制整台服务器,分分钟给你拖个裤子~~

介绍

广泛流行的图像处理工具 imageMagick 天爆发重大漏洞,该漏洞可以充许黑客攻击者通过上传恶意构造的图片文件 ,在目标服务器上执行任意代码,完全操控目标服务器。

ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。但近来有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。

更多的专业解释请到 https://imagetragick.com/ 查阅。

解决方法

升级到最新版本:

升级 ImageMagick 到最新版本 7.0.1-1
官方地址:https://www.imagemagick.org/script/binary-releases.php

针对下载并按照针对自己系统的版本。如果要临时快速解决一下可以参考下面的方法。

官方给出的临时解决措施:

通过配置策略文件暂时禁用ImageMagick,可在 /etc/ImageMagick/policy.xml 文件中添加如下代码:

<policymap>
 <policy domain="coder" rights="none" pattern="EPHEMERAL" />
 <policy domain="coder" rights="none" pattern="URL" />
 <policy domain="coder" rights="none" pattern="HTTPS" />
 <policy domain="coder" rights="none" pattern="MVG" />
 <policy domain="coder" rights="none" pattern="MSL" />
</policymap>

发表评论

发表评论

*

沙发空缺中,还不快抢~