【漏洞公告】ImageMagick压缩TIFF图片远程代码执行(CVE-2016-8707)
近日,
Cisco Talos了一条关于ImageMagick远程代码执行漏洞通告,攻击者成功利用漏洞后,可导致远程代码执行,
具体漏洞详情如下:
漏洞编号:CVE-2016-8707
漏洞危害:
黑客通过利用漏洞可以实现远程命令执行,严重情况下可能会导致业务中断或数据泄露。
漏洞利用条件:
可以远程代码执行利用。
利用复杂度较高,暂无公开POC。
漏洞影响范围:
ImageMagick version < 7.0.3-9
不受影响版本:ImageMagick version = 7.0.3-9测试方案
漏洞测试:
您可以通过 命令查看版本
#convet -version
同时目前阿里云安骑士已经支持该漏洞检测,您可以登录到控制台->安骑士->批量事件处理,点击检测,即可检测是否存在漏洞:
漏洞修复建议(或缓解措施):
升级到目前的最新版本(7.0.3-9)
参考信息:
- http://d.hatena.ne.jp/yoya/20161205/im
- https://www.imagemagick.org/script/binary-releases.php
- http://blog.talosintel.com/2016/12/ImageMagick-Tiff-out-of-Bounds.html
- http://d.hatena.ne.jp/yoya/20161205/im
- https://security-tracker.debian.org/tracker/CVE-2016-8707
展开
收起
1
条回答
写回答
写回答
-
解决方案工程师,负责为企业规划上云迁移方案和云上架构设计,在网站建设开发和云计算领域有多年经验,专注于Linux平台的系统维护以及应用部署。致力于以场景化的方式让云计算,用更加通俗易懂的方式让更多人体验云计算,让云端的计算更质朴的落地。幸苦啦,那么晚还发漏洞公告2016-12-09 19:00:28赞同 展开评论 打赏
问答分类:
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
