ImageMagick曝重大漏洞,上传图片即可植入木马 创宇盾已率先防御

5月5日消息,广泛流行的图像处理软件imageMagick今天爆发重大漏洞,该漏洞可以充许黑客攻击者通过上传恶意构造的图片文件 ,在目标服务器上执行任意代码,完全操控目标服务器。

c84eba57072c6bb237c3cc3f8e41742f

图片来源:Freebuf

imageMagick是一个免费的创建、修改、合成、裁剪图片的软件,在大量网站上有应用,常见的应用场景如某些论坛用户上传头像后,可进行尺寸裁剪等。

在国内广泛应用的Wordpress建站系统、Discuz!论坛等均受影响,全国约有200万网站采用Discuz!搭建网站。目前在某漏洞报告平台上,包括百度、腾讯、阿里、人人、新浪等均受到影响。

截止发稿,软件官方尚未发布最终解决方案,知道创宇云安全旗下安全防护平台创宇盾已经在第一时间发布了虚拟防护补丁,受漏洞影响的网站可使用创宇盾保护网站免受该漏洞影响。

官方给出的临时解决措施:

通过配置策略文件暂时禁用ImageMagick,可在 “/etc/ImageMagick/policy.xml” 文件中添加如下代码:

<policymap>
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
</policymap>

One thought on “ImageMagick曝重大漏洞,上传图片即可植入木马 创宇盾已率先防御

发表评论

电子邮件地址不会被公开。