【漏洞公告】ImageMagick压缩TIFF图片远程代码执行(CVE-2016-8707)-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

【漏洞公告】ImageMagick压缩TIFF图片远程代码执行(CVE-2016-8707)

2016-12-09 18:56:27 3186 1
近日, Cisco Talos了一条关于ImageMagick远程代码执行漏洞通告,攻击者成功利用漏洞后,可导致远程代码执行, 具体漏洞详情如下:
                                

漏洞编号:CVE-2016-8707


漏洞危害:
黑客通过利用漏洞可以实现远程命令执行,严重情况下可能会导致业务中断或数据泄露。


漏洞利用条件:
可以远程代码执行利用。
利用复杂度较高,暂无公开POC。


漏洞影响范围:
ImageMagick version < 7.0.3-9
不受影响版本:ImageMagick version = 7.0.3-9测试方案


漏洞测试:
您可以通过 命令查看版本
#convet -version

同时目前阿里云安骑士已经支持该漏洞检测,您可以登录到控制台->安骑士->批量事件处理,点击检测,即可检测是否存在漏洞:






漏洞修复建议(或缓解措施):
升级到目前的最新版本(7.0.3-9)


参考信息:
  1. http://d.hatena.ne.jp/yoya/20161205/im
  2. https://www.imagemagick.org/script/binary-releases.php
  3. http://blog.talosintel.com/2016/12/ImageMagick-Tiff-out-of-Bounds.html    
  4. http://d.hatena.ne.jp/yoya/20161205/im
  5. https://security-tracker.debian.org/tracker/CVE-2016-8707


























取消 提交回答
全部回答(1)
  • 妙正灰
    2016-12-09 19:00:28
    幸苦啦,那么晚还发漏洞公告
    0 0
相关问答

1

回答

DataWorks中 DataStudio(数据开发)的组件的过程体是什么?

2021-12-08 10:29:19 152浏览量 回答数 1

1

回答

android studio中Log.d(TAG,"onStart&q?报错

2020-06-23 00:02:54 778浏览量 回答数 1

1

回答

求问如何在js代码中判断一段文字是否溢出,求教:报错

2020-06-09 23:23:10 499浏览量 回答数 1

1

回答

Django中csrf的实现机制?

2019-11-22 13:01:57 1226浏览量 回答数 1

2

回答

阿里云aliplayer播放器在npm run build后运行中浏览器控制台报错

2018-03-15 16:08:11 5329浏览量 回答数 2

4

回答

{DZ、PW论坛请注意!!}ImageMagick 曝重大漏洞,上传图片即可植入木马

2016-05-05 21:14:24 12139浏览量 回答数 4

3

回答

ImageMagick

2015-07-11 14:56:53 5968浏览量 回答数 3

2

回答

我用tomcat服务器,java代码怎么连接这个关系型数据库啊,求大牛指点。

2014-05-22 12:05:12 5700浏览量 回答数 2

1

回答

JS控制图片等比例缩放的代码

2014-04-06 08:57:10 7730浏览量 回答数 1

5

回答

阿里云imagick效率极低有遇到过吗

2014-01-02 22:06:49 6119浏览量 回答数 5
+关注
正禾
云安全专家,专业研究云安全5年+,擅长云安全防护体系建设和安全运营。
6
文章
139
问答
问答排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载