漏洞|事件危害

ImageMagick在解析https图片的时候，使用了curl命令将其下载。所以我们可以构造一个图片，并在https://后面闭合双引号，写入自己要执行的命令。通过ImageMagick漏洞来执行命令,Slack安全工程师Ryan Hube发现了这一0day漏洞。

预警：

ImageMagick的这个远程代码执行漏洞也将波及Wordpress博客网站以及Discuz论坛！有使用imageMagic模块来处理图片业务的公司&站长请注意：头像上传、证件上传、资质上传等方面的点尤其是使用到图片（批量）裁剪的业务场景！

解决方案：

处理图片前，先检查图片的"magic bytes"，也就是图片头，如果图片头不是你想要的格式，那么就不调用ImageMagick处理图片。如果你是php用户，可以使用getimagesize函数来检查图片格式，而如果你是wordpress等web应用的使用者，可以暂时卸载ImageMagick，使用php自带的gd库来处理图片.

使用policyfile来防御这个漏洞，这个文件默认位置在/etc/ImageMagick/policy.xml ，我们通过配置如下的xml来禁止解析https等敏感操作：

可在 “/etc/ImageMagick/policy.xml” 文件中添加如下代码：

<policymap>
 <policy domain="coder" rights="none" pattern="EPHEMERAL" />
 <policy domain="coder" rights="none" pattern="URL" />
 <policy domain="coder" rights="none" pattern="HTTPS" />
 <policy domain="coder" rights="none" pattern="MVG" />
 <policy domain="coder" rights="none" pattern="MSL" />
policymap>

关注梦之想官方微信公众号获取最新漏洞动态：XWAYTech