• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202302/1782204_30003_0.htm

ImageMagick多个漏洞通告(CVE-2022-44267&CVE-2022-44268)

【发布时间:2023-02-20】

威胁预警团队

2022/02/03


1. 漏洞综述

1.1 漏洞背景

ImageMagick 是一个用来创建、编辑、合成图片的软件。支持读取、转换、写入多种格式的图片,图片切割、颜色替换等功能。近日,新华三攻防实验室威胁预警团队监测到互联网上爆出了ImageMagick多个漏洞,包括:ImageMagick拒绝服务漏洞(CVE-2022-44267)、ImageMagick任意文件读取漏洞(CVE-2022-44268),漏洞利用已公开,攻击者利用这些漏洞可造成拒绝服务和信息泄露的风险。

1.2 漏洞详情

两个漏洞均是由于ImageMagick在解析PNG图像时代码处理不当导致,恶意攻击者通过构造恶意的PNG文件,成功利用此漏洞可造成服务器拒绝服务和信息泄露。(攻击者构造 profile 字段的值为“-”就会造成 ImageMagick 进程挂死;若构造 profile 字段的值为系统文件路径时(如 /etc/passwd),则可以读取文件内容。)

1.3 漏洞复现

构造 profile 字段,读取任意文件内容:

2. 影响范围

· ImageMagick 7.1.x <= 7.1.0-51

· ImageMagick 7.0.x

· ImageMagick 6.9.x

· ImageMagick 6.8.3-10 <= 6.8.x <= 6.8.9-10

3. 严重等级

威胁等级

高危

影响程度

广泛

利用价值

中等

利用难度

漏洞评分

7.5

4. 处置方法

4.1 官方补丁

目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://www.imagemagick.org/script/download.php

https://github.com/ImageMagick/ImageMagick/releases

5. 参考链接

https://www.metabaseq.com/imagemagick-zero-days/

https://github.com/ImageMagick/ImageMagick/commit/05673e63c919e61ffa1107804d1138c46547a475

新华三官网
联系我们