5月5日消息,广泛流行的图像处理软件imageMagick今天爆发重大漏洞,该漏洞可以充许黑客攻击者通过上传恶意构造的图片文件 ,在目标服务器上执行任意代码,完全操控目标服务器。
ImageMagick被爆高危漏洞(CVE-2016-3714),此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。黑客可利用此类漏洞盗取权限窃取数据。由于ImageMagick应用十分广泛,目前已确定Wordpress等知名应用受此漏洞影响。 影响的版本为:ImageMagick <= 6.9.3-9
imageMagick是一个免费的创建、修改、合成、裁剪图片的软件,在大量网站上有应用,常见的应用场景如某些论坛用户上传头像后,可进行尺寸裁剪等。
在国内广泛应用的Wordpress建站系统、Discuz!论坛等均受影响,全国约有200万网站采用Discuz!搭建网站。目前在某漏洞报告平台上,包括百度、腾讯、阿里、人人、新浪等均受到影响。
截止发稿,软件官方尚未发布最终解决方案,知道创宇云安全旗下安全防护平台创宇盾已经在第一时间发布了虚拟防护补丁,受漏洞影响的网站可使用创宇盾保护网站免受该漏洞影响。
官方给出的临时解决措施:
通过配置策略文件暂时禁用ImageMagick,可在 “/etc/ImageMagick/policy.xml” 文件中添加如下代码:
<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap>