QQ客服:4000600990 客服热线:028-61383669 投诉热线:028-85965607

ImageMagick曝重大漏洞,上传图片即可植入木马 创宇盾已率先防御

2016年05月05日

5月5日消息,广泛流行的图像处理软件imageMagick今天爆发重大漏洞,该漏洞可以充许黑客攻击者通过上传恶意构造的图片文件 ,在目标服务器上执行任意代码,完全操控目标服务器。

c84eba57072c6bb237c3cc3f8e41742f

图片来源:Freebuf

imageMagick是一个免费的创建、修改、合成、裁剪图片的软件,在大量网站上有应用,常见的应用场景如某些论坛用户上传头像后,可进行尺寸裁剪等。

在国内广泛应用的Wordpress建站系统、Discuz!论坛等均受影响,全国约有200万网站采用Discuz!搭建网站。目前在某漏洞报告平台上,包括百度、腾讯、阿里、人人、新浪等均受到影响。

截止发稿,软件官方尚未发布最终解决方案,知道创宇云安全旗下安全防护平台创宇盾已经在第一时间发布了虚拟防护补丁,受漏洞影响的网站可使用创宇盾保护网站免受该漏洞影响。

官方给出的临时解决措施:

通过配置策略文件暂时禁用ImageMagick,可在 “/etc/ImageMagick/policy.xml” 文件中添加如下代码:

<policymap>
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
</policymap>

参考信息:https://www.seebug.org/vuldb/ssvid-91446

×
×
×

应国家法律法规相关要求,自6月1日起使用信息发布、即时通信等服务时,需进行身份信息验证。为保障您对相关服务功能的正常使用,请尽快完成手机号验证,感谢您的支持和理解。

4000600990 QQ 微信