转载

图像处理软件ImageMagick爆0day漏洞 全球服务器遭殃

图像处理软件ImageMagick爆0day漏洞 全球服务器遭殃

“0day漏洞”是指一些没有公布补丁的漏洞,或者是还没有被漏洞发现者公布出来的漏洞利用工具,作为网络安全的巨大威胁,往往会给你的服务器致命一击。5月3日,图像处理软件ImageMagick就被公布出一个严重的0day漏洞(CVE-2016-3714),攻击者通过此漏洞可执行任意命令,最终窃取重要信息取得服务器控制权。

首先让我们来了解一下“ImageMagick”这个图像处理软件,ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick是免费软件:全部源码开放,可以自由使用,复制,修改,发布,它遵守GPL许可协议,可以运行于大多数的操作系统,ImageMagick的大多数功能的使用都来源于命令行工具。

由于其强大的功能以及超强的可操作性,是的这款作图软件深得广大办公人士喜爱,正因为如此,此次0day漏洞所带来的影响超乎了人们的想象。诸多网站论坛都深受其害,其中不乏百度、阿里、腾讯、新浪等知名网站,一时间,业界各大网站及企业都人人自危,纷纷自查,以免中招。

图像处理软件ImageMagick爆0day漏洞 全球服务器遭殃

那么这个漏洞是才去的怎样一个攻击方式呢?其实非常简单,黑客只需上传一张“被感染”的图片就可以对网站程序的 imagick 扩展进行攻击,利用漏洞执行图片中内置的恶意命令。哪怕是提示图片上传失败,imagick 扩展也会因代码流程而进行了处理,所以这种情况下即使图片没有真的传到服务器上,攻击也是可以成功的,这也正是它最为可怕的地方。

目前该漏洞还没有大面积爆发,但危机意识还是要有的,必要的自查防范依旧必不可少。既然此漏洞如此强悍,又有什么方式可以摆脱漏洞的危害呢?截至出稿,软件官方还没能给出一个强有力的应对措施。但还是给出了一些临时的应对措施。

官方给出的临时解决措施:

通过配置策略文件暂时禁用ImageMagick,可在“/etc/ImageMagick/policy.xml” 文件中添加如下代码:

<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" /></policymap>

聪明的人读到这里已经开始了自查模式,不要亡羊补牢,等到躺枪的时候就什么都晚了。

此次漏洞不容小觑,望诸位珍重。

原文  http://www.yunweipai.com/archives/6756.html
正文到此结束
Loading...