【漏洞公告】ImageMagick压缩TIFF图片远程代码执行(CVE-2016-8707)-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

【漏洞公告】ImageMagick压缩TIFF图片远程代码执行(CVE-2016-8707)

正禾 2016-12-09 18:56:27 2564
近日, Cisco Talos了一条关于ImageMagick远程代码执行漏洞通告,攻击者成功利用漏洞后,可导致远程代码执行, 具体漏洞详情如下:
                                

漏洞编号:CVE-2016-8707


漏洞危害:
黑客通过利用漏洞可以实现远程命令执行,严重情况下可能会导致业务中断或数据泄露。


漏洞利用条件:
可以远程代码执行利用。
利用复杂度较高,暂无公开POC。


漏洞影响范围:
ImageMagick version < 7.0.3-9
不受影响版本:ImageMagick version = 7.0.3-9测试方案


漏洞测试:
您可以通过 命令查看版本
#convet -version

同时目前阿里云安骑士已经支持该漏洞检测,您可以登录到控制台->安骑士->批量事件处理,点击检测,即可检测是否存在漏洞:






漏洞修复建议(或缓解措施):
升级到目前的最新版本(7.0.3-9)


参考信息:
  1. http://d.hatena.ne.jp/yoya/20161205/im
  2. https://www.imagemagick.org/script/binary-releases.php
  3. http://blog.talosintel.com/2016/12/ImageMagick-Tiff-out-of-Bounds.html    
  4. http://d.hatena.ne.jp/yoya/20161205/im
  5. https://security-tracker.debian.org/tracker/CVE-2016-8707


























安全
分享到
取消 提交回答
全部回答(1)
  • 妙正灰
    2016-12-09 19:00:28
    幸苦啦,那么晚还发漏洞公告
    0 0
+ 订阅

云安全开发者的大本营

推荐文章
相似问题
推荐课程