{DZ、PW论坛请注意!!}ImageMagick 曝重大漏洞,上传图片即可植入木马
ImageMagick 曝重大漏洞,上传图片即可植入木马
前言
这里的前言是废话,要看重点直接看解决方法。(只是为了告诉你重要性)
做 Discuz 和 PhpWind 这样的论坛的网站都会较大规模的应用到 验证码、水印、图片裁剪等 功能,一般来说操作一多、一复杂、访问一多 GD 库就会撑不住,所以我们需要更好的 ImageMagick。 不过,这次么 ImageMagick 爆漏洞了,而且严重程度时可以控制整台服务器,分分钟给你拖个裤子~~
介绍
广泛流行的图像处理工具 imageMagick 天爆发重大漏洞,该漏洞可以充许黑客攻击者通过上传恶意构造的图片文件 ,在目标服务器上执行任意代码,完全操控目标服务器。
ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。但近来有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。
更多的专业解释请到 https://imagetragick.com/ 查阅。
解决方法
升级到最新版本:
升级 ImageMagick 到最新版本 7.0.1-1官方地址: https://www.imagemagick.org/script/binary-releases.php
针对下载并按照针对自己系统的版本。如果要临时快速解决一下可以参考下面的方法。
官方给出的临时解决措施:
<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap>
来自: https://www.mf8.biz/cve-2016-3714/
展开
收起
4
条回答
写回答
写回答
-
ReDZ、PW论坛请注意!!ImageMagick 曝重大漏洞,上传图片即可植入木马奇怪。。。我的 是用的 GD 处理图片的啊。。。。那我要怎么查看我的服务器里面有ImageMagick 这个软件呢???2016-05-09 18:23:24赞同 展开评论 打赏 -
-
-
解决方案工程师,负责为企业规划上云迁移方案和云上架构设计,在网站建设开发和云计算领域有多年经验,专注于Linux平台的系统维护以及应用部署。致力于以场景化的方式让云计算,用更加通俗易懂的方式让更多人体验云计算,让云端的计算更质朴的落地。升级到最新版本:
升级 ImageMagick 到最新版本 7.0.1-1
官方地址: https://www.imagemagick.org/script/binary-releases.php-------------------------
回 2楼(梦丫头) 的帖子验证码2016-05-05 21:17:23赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
问答排行榜
最热
最新
推荐问答
