{DZ、PW论坛请注意!!}ImageMagick 曝重大漏洞,上传图片即可植入木马-问答-阿里云开发者社区-阿里云

开发者社区> 妙正灰> 正文

{DZ、PW论坛请注意!!}ImageMagick 曝重大漏洞,上传图片即可植入木马

2016-05-05 21:14:24 11704 4


ImageMagick 曝重大漏洞,上传图片即可植入木马


  


前言


这里的前言是废话,要看重点直接看解决方法。(只是为了告诉你重要性)


做 Discuz 和 PhpWind 这样的论坛的网站都会较大规模的应用到 验证码、水印、图片裁剪等 功能,一般来说操作一多、一复杂、访问一多 GD 库就会撑不住,所以我们需要更好的 ImageMagick。 不过,这次么 ImageMagick 爆漏洞了,而且严重程度时可以控制整台服务器,分分钟给你拖个裤子~~

介绍


广泛流行的图像处理工具 imageMagick 天爆发重大漏洞,该漏洞可以充许黑客攻击者通过上传恶意构造的图片文件 ,在目标服务器上执行任意代码,完全操控目标服务器。

ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。但近来有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。

更多的专业解释请到 https://imagetragick.com/ 查阅。



解决方法


升级到最新版本:


升级 ImageMagick 到最新版本 7.0.1-1官方地址: https://www.imagemagick.org/script/binary-releases.php
针对下载并按照针对自己系统的版本。如果要临时快速解决一下可以参考下面的方法。


官方给出的临时解决措施:


通过配置策略文件暂时禁用ImageMagick,可在 /etc/ImageMagick/policy.xml 文件中添加如下代码:


<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap>


来自: https://www.mf8.biz/cve-2016-3714/
取消 提交回答
全部回答(4)
  • ufo中文网
    2016-05-09 18:23:24
    ReDZ、PW论坛请注意!!ImageMagick 曝重大漏洞,上传图片即可植入木马
    奇怪。。。我的   是用的 GD  处理图片的啊。。。。那我要怎么查看我的服务器里面有ImageMagick   这个软件呢???
    0 0
  • 怎么省钱网
    2016-05-09 12:55:33
    ReDZ、PW论坛请注意!!ImageMagick 曝重大漏洞,上传图片即可植入木马
    具体怎么操作呢?
    0 0
  • 梦丫头
    2016-05-05 21:47:05
    回 1楼(ivmmff) 的帖子
    附件和网站分开就不怕了
    0 0
  • 妙正灰
    2016-05-05 21:17:23
    升级到最新版本:

    升级 ImageMagick 到最新版本 7.0.1-1
    官方地址: https://www.imagemagick.org/script/binary-releases.php

    -------------------------

    回 2楼(梦丫头) 的帖子
    验证码
    0 0
添加回答
相关问答

3

回答

@aliyun.com邮箱客户端密码登录方式 下线通知

仙游 2015-01-16 14:33:54 125891浏览量 回答数 3

145

回答

【新手入门】云服务器linux使用手册

fanyue88888 2012-11-26 17:14:18 157105浏览量 回答数 145

110

回答

OSS存储服务-客户端工具

newegg11 2012-05-17 15:37:18 292317浏览量 回答数 110

5

回答

公司给开的企业邮箱帐户,为什么用foxmail会提示密码错误?

萝卜兔兔 2015-07-13 10:27:30 143681浏览量 回答数 5

33

回答

Win Server 2003-2016 加密勒索事件必打补丁合集

妙正灰 2017-05-15 10:44:38 277556浏览量 回答数 33

42

回答

【精品问答集锦】Python热门问题

小六码奴 2019-05-30 15:27:34 135582浏览量 回答数 42

38

回答

安全组详解,新手必看教程

我的中国 2017-11-30 15:23:46 256890浏览量 回答数 38

294

回答

Linux Bash严重漏洞修复紧急通知(已全部给出最终修复方案)

qilu 2014-09-25 13:26:50 431630浏览量 回答数 294

1

回答

foxmail 关联企业邮箱提示邮箱地址或者密码错误

2017-12-30 21:50:39 150676浏览量 回答数 1

13

回答

游戏云精彩帖汇总

nono20011908 2014-08-22 11:00:12 203657浏览量 回答数 13
+关注
妙正灰
浙江卓见云解决方案工程师,负责为企业规划上云迁移方案和云上架构设计,在网站建设开发和云计算领域有多年经验,专注于Linux平台的系统维护以及应用部署。致力于以场景化的方式让云计算,用更加通俗易懂的方式让更多人体验云计算,让云端的计算更质朴的落地。
107
文章
5038
问答
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载