今日頭條
官方微信
官方抖音
資訊頻道一個(gè)月后,圖像處理軟件ImageMagick再次被發(fā)現(xiàn)存在高危漏洞(CVE-2016-5118),可導(dǎo)致本地或可能的遠(yuǎn)程代碼執(zhí)行,由ImageMagick5.5.2 發(fā)展出來(lái)的圖像處理軟件GraphicsMagick亦存在此漏洞。
ImageMagick是一款開源的圖像處理軟件,該軟件能用作創(chuàng)建、編輯、合成圖片,支持多種編程語(yǔ)言,包括Perl、C++、PHP、Python、Ruby和NodeJS等,因此被眾多網(wǎng)站大量應(yīng)用于識(shí)別、裁剪、或調(diào)整用戶上傳的圖片。
GraphicsMagick是ImageMagick的一個(gè)分支,號(hào)稱圖像處理領(lǐng)域的瑞士軍刀。 短小精悍的代碼卻提供了一個(gè)魯棒、高效的工具和庫(kù)集合,來(lái)處理圖像的讀取、寫入等操作,支持超過(guò)88種圖像格式,包括重要的DPX、GIF、JPEG、JPEG-2000、PNG、PDF、PNM和TIFF,可以在Linux、Mac、Windows等絕大多數(shù)的平臺(tái)上使用。GaphicsMagick支持大圖片的處理,能夠動(dòng)態(tài)的生成圖片,特別適用于互聯(lián)網(wǎng)的應(yīng)用。GaphicsMagick不僅支持命令行的模式,同時(shí)也支持C、C++、Perl、PHP、Tcl、Ruby等的調(diào)用。
漏洞危害
當(dāng)GraphicsMagick和ImageMagick打開文件時(shí),如果文件名的第一個(gè)字符為“|”,則文件名會(huì)被傳遞給shell程序使用POSIX函數(shù)popen()執(zhí)行,文件打開操作由源文件blob.c中的OpenBlob()函數(shù)處理。攻擊者可借助文件名利用該漏洞執(zhí)行shell代碼。
影響范圍
此漏洞可影響眾多網(wǎng)站、博客、社交媒體平臺(tái)和內(nèi)容管理系統(tǒng)(CMS),例如WordPress、Drupal等各種可上傳圖片的網(wǎng)站,特別是可批量裁剪圖片的網(wǎng)站。對(duì)企業(yè)用戶威脅較大。
漏洞檢測(cè)
啟明星辰天鏡脆弱性掃描與管理系統(tǒng)V6.0目前已經(jīng)支持對(duì)該漏洞進(jìn)行檢測(cè):
對(duì)9991465198045108280.png "ImageMagick再曝高危漏洞 啟明星辰積極應(yīng)對(duì)9991465198045108280.png")
請(qǐng)?zhí)扃R脆弱性掃描與管理系統(tǒng)V6.0產(chǎn)品的用戶盡快升級(jí)到最新版本,及時(shí)對(duì)該漏洞進(jìn)行檢測(cè),以便盡快采取防范措施。
漏洞庫(kù)升級(jí)
天鏡脆弱性掃描與管理系統(tǒng)V6.0已于2016年6月2日緊急發(fā)布針對(duì)ImageMagick漏洞的升級(jí)包,用戶升級(jí)天鏡漏掃產(chǎn)品漏洞庫(kù)后即可對(duì)ImageMagick漏洞進(jìn)行掃描:
6070版本升級(jí)包為607000024,升級(jí)包下載地址:
http://www.venustech.com.cn/DownFile/575/
6061版本升級(jí)包為6000458,升級(jí)包下載地址:
http://www.venustech.com.cn/DownFile/456/
漏洞修復(fù)建議
方案一:修改源代碼,重新編譯GraphicsMagick和ImageMagick
GraphicsMagick在文件magick/blob.c中增加以下內(nèi)容:
#undef HAVE_POPEN
ImageMagick在文件MagickCore/blob.c中增加:
#undef MAGICKCORE_HAVE_POPEN
在配置文件中增加如下內(nèi)容:
<policy domain="path" rights="none" pattern="|*" />
方案二:關(guān)注官方網(wǎng)站,及時(shí)升級(jí)到最新版本
目前廠商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)此安全問(wèn)題,詳情請(qǐng)關(guān)注廠商主頁(yè): http://www.graphicsmagick.org/
PS:?jiǎn)⒚餍浅竭€貼心提供ImageMagick&GraphicsMagick本地漏洞檢測(cè)工具,提供給沒(méi)有天鏡脆弱性掃描與管理系統(tǒng)V6.0產(chǎn)品的用戶對(duì)該漏洞進(jìn)行檢測(cè):
1.運(yùn)行ImageMagick-graphicmagic.py;
對(duì)17921465198059276393.png "ImageMagick再曝高危漏洞 啟明星辰積極應(yīng)對(duì)17921465198059276393.png")
2. 執(zhí)行結(jié)果如下:
對(duì)18061465198081820228.png "ImageMagick再曝高危漏洞 啟明星辰積極應(yīng)對(duì)18061465198081820228.png")
有需要的用戶請(qǐng)聯(lián)系啟明星辰當(dāng)?shù)乜蛻舸慝@取本地漏洞檢測(cè)工具。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)