漏洞描述:
據(jù)ImageMagick官方,目前程序存在一處遠(yuǎn)程命令執(zhí)行漏洞(CVE-2016-3714),當(dāng)其處理的上傳圖片帶有攻擊代碼時,可遠(yuǎn)程實現(xiàn)遠(yuǎn)程命令執(zhí)行,進而可能控制服務(wù)器,此漏洞被命名為ImageTragick。ImageMagick是一款開源圖片處理庫,支持PHP、Ruby、NodeJS和Python等多種語言,使用非常廣泛。包括PHP imagick、Ruby rmagick和paperclip以及NodeJS imagemagick等多個圖片處理插件都依賴它運行。可能的影響范圍包括各類流行的內(nèi)容管理系統(tǒng)(CMS)。
影響影響范圍:
1、調(diào)用ImageMagick的庫實現(xiàn)圖片處理和渲染的應(yīng)用。
ImageMagick 為多種語言提供了api,具體可參考http://www.imagemagick.org/script/api.php
2、很多流行的內(nèi)容管理系統(tǒng)(CMS)使用了ImageMagick ,例如 Wordpress 的圖片處理插件已被證實存在遠(yuǎn)程命令執(zhí)行的漏洞(Author 及以上權(quán)限用戶執(zhí)行)。其他例如MediaWiki、phpBB和vBulletin 使用了ImageMagick 庫生成縮略圖,還有一些程序如LyX使用ImageMagick轉(zhuǎn)換圖片格式。以上應(yīng)用可能受到此漏洞影響。
3、如果通過shell 中的convert 命令實現(xiàn)一些圖片處理功能,也會受到此漏洞影響。
漏洞等級:
高危
漏洞驗證方法:
若系統(tǒng)中安裝使用了ImageMagick,本地執(zhí)行如下命令:
convert ‘https://example.com”|ls “-la’ out.png
若ls -la 命令成功執(zhí)行,說明存在漏洞。未執(zhí)行l(wèi)s 命令,并報錯,說明不受影響。
修復(fù)建議(臨時):
1、由于遠(yuǎn)程命令執(zhí)行時,命令代碼是包含在圖片中上傳的,所以在圖片上傳時需要對圖片內(nèi)容進行檢驗。
2、Linux臨時防護方案 :編輯 /etc/ImageMagick/policy.xml ,在 之間增加以下幾行
3、添加網(wǎng)站至云觀測,及時了解網(wǎng)站組件突發(fā)/0day漏洞。
京公網(wǎng)安備 11010502049343號