ImageMagick图象处理软件存在远程代码执行(CVE-2016-3714)

时间:2016-05-05 08:56:00来源:技术部作者:梦之想

ImageMagick图象处理软件存在远程代码执行  

日期

2016-5-4

严重性

高危

CVE编号

CVE-2016-3714

影响版本

ImageMagick  6.9.3-9以前是所有版本,包括ubuntu源中安装的ImageMagick

漏洞|事件危害

ImageMagick在解析https图片的时候,使用了curl命令将其下载。所以我们可以构造一个图片,并在https://后面闭合双引号,写入自己要执行的命令。通过ImageMagick漏洞来执行命令,Slack安全工程师Ryan Hube发现了这一0day漏洞。


预警:

ImageMagick的这个远程代码执行漏洞也将波及Wordpress博客网站以及Discuz论坛!有使用imageMagic模块来处理图片业务的公司&站长请注意:头像上传、证件上传、资质上传等方面的点尤其是使用到图片(批量)裁剪的业务场景!


解决方案:

处理图片前,先检查图片的"magic bytes",也就是图片头,如果图片头不是你想要的格式,那么就不调用ImageMagick处理图片。如果你是php用户,可以使用getimagesize函数来检查图片格式,而如果你是wordpress等web应用的使用者,可以暂时卸载ImageMagick,使用php自带的gd库来处理图片.

使用policyfile来防御这个漏洞,这个文件默认位置在/etc/ImageMagick/policy.xml ,我们通过配置如下的xml来禁止解析https等敏感操作:

可在 “/etc/ImageMagick/policy.xml” 文件中添加如下代码:

<policymap>
 <policy domain="coder" rights="none" pattern="EPHEMERAL" />
 <policy domain="coder" rights="none" pattern="URL" />
 <policy domain="coder" rights="none" pattern="HTTPS" />
 <policy domain="coder" rights="none" pattern="MVG" />
 <policy domain="coder" rights="none" pattern="MSL" />
policymap>



关注梦之想官方微信公众号获取最新漏洞动态:XWAYTech