欢迎user
威胁预警团队
2022/02/03
ImageMagick 是一个用来创建、编辑、合成图片的软件。支持读取、转换、写入多种格式的图片,图片切割、颜色替换等功能。近日,新华三攻防实验室威胁预警团队监测到互联网上爆出了ImageMagick多个漏洞,包括:ImageMagick拒绝服务漏洞(CVE-2022-44267)、ImageMagick任意文件读取漏洞(CVE-2022-44268),漏洞利用已公开,攻击者利用这些漏洞可造成拒绝服务和信息泄露的风险。
两个漏洞均是由于ImageMagick在解析PNG图像时代码处理不当导致,恶意攻击者通过构造恶意的PNG文件,成功利用此漏洞可造成服务器拒绝服务和信息泄露。(攻击者构造 profile 字段的值为“-”就会造成 ImageMagick 进程挂死;若构造 profile 字段的值为系统文件路径时(如 /etc/passwd),则可以读取文件内容。)
构造 profile 字段,读取任意文件内容:
· ImageMagick 7.1.x <= 7.1.0-51
· ImageMagick 7.0.x
· ImageMagick 6.9.x
· ImageMagick 6.8.3-10 <= 6.8.x <= 6.8.9-10
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 中等 |
利用难度 | 高 |
漏洞评分 | 7.5 |
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://www.imagemagick.org/script/download.php
https://github.com/ImageMagick/ImageMagick/releases
https://www.metabaseq.com/imagemagick-zero-days/
https://github.com/ImageMagick/ImageMagick/commit/05673e63c919e61ffa1107804d1138c46547a475