- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
5月3日,ImageMagick官方披露称,目前程序存在一处远程命令执行漏洞(CVE-2016–3714),当其处理的攻击者精心构造的上传图片,可被远程执行任意代码,进而可能控制服务器。在这个安全漏洞公布之后,漏洞被命名为Imagetragick,其利用方式也随即被公布。漏洞的EXP已经通过邮件和论坛广泛传播,所以如果你使用了ImageMagick去处理用户输入,请立即采取相应的缓解措施。华三安全攻防团队对本次漏洞紧急响应,已经开发出相应规则,可以有效拦截该攻击行为,用户可以通过华三官网下载特征库更新规则。
ImageMagick是一套功能强大、稳定而且开源的工具集和开发包,可以用来读、写几乎所有常见的图片格式,包括流行的TIFF、JPEG、GIF、PNG、PDF以及PhotoCD等格式,且被许多编程语言所支持,包括Perl,C++,PHP,Python和Ruby等,有无数的网站使用它来进行图像处理。
网站中常见的场景比如用户头像上传、图片压缩等功能很可能使用该扩展进行处理。因此该漏洞可能影响众多网站、博客、社交媒体平台和内容管理系统(CMS),例如WordPress和Drupal等各种可上传图片的网站,特别是可批量裁剪图片的网站。有使用imageMagic模块来处理图片业务的公司&站长请注意:头像上传、证件上传、资质上传等方面的点尤其是使用到图片(批量)裁剪的业务场景。
漏洞产生的原因是 ImageMagick 使用 system() 指令调用来处理 HTTPS 请求,而对用户传入的 shell 参数没有做好过滤,导致能注入任意指令执行。
该漏洞的利用十分简单,通过上传一个恶意图像到目标Web服务器上,攻击者就可以执行任意代码,窃取重要信息,用户帐户等。
官网上已经给出好几种测试方法:
用户可根据官网提示方法进行自查是否受该漏洞影响。
1. 华三通信安全攻防团队已经推出最新的IPS特征库,能够有效拦截此类攻击,建议用户至华三官方网站下载升级。
2. 在文件发送给ImageMagick处理前,检查文件的magic bytes。Magic bytes是一个文件的前几个字节,被用于识别图像类型,例如GIF,JPEG和PNG等。
3. 使用策略文件暂时禁用ImageMagick,可在“/etc/ImageMagick/policy.xml”文件中添加如下代码:
4. 随时关注ImageMagick官方网站,获取修复版本。
产品与解决方案
