双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

關(guān)于ImageMagick存在遠(yuǎn)程代碼執(zhí)行高危漏洞的安全公告

2016-05-06 09:28:24

安全公告編號(hào):CNTA-2016-0018

近日,國家信息安全漏洞共享平臺(tái)(CNVD)收錄了ImageMagick遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2016-02721,對(duì)應(yīng)CVE-2016-3714)。遠(yuǎn)程攻擊者利用漏洞通過上傳惡意構(gòu)造的圖像文件,可在目標(biāo)服務(wù)器執(zhí)行任意代碼,進(jìn)而獲得網(wǎng)站服務(wù)器的控制權(quán)。由于有多種編程語言對(duì)ImageMagick提供調(diào)用支持且一些廣泛應(yīng)用的?? Web中間件在部署中包含相關(guān)功能,對(duì)互聯(lián)網(wǎng)站安全構(gòu)成重大威脅。

一、漏洞情況分析

ImageMagick是一款開源的創(chuàng)建、編輯、合成圖片的軟件??梢宰x取、轉(zhuǎn)換、寫入多種格式的圖片,遵守GPL許可協(xié)議,可運(yùn)行于大多數(shù)的操作系統(tǒng)。

ImageMagick在MagickCore/constitute.c的ReadImage函數(shù)中解析圖片,當(dāng)圖片地址以https://開頭時(shí),就會(huì)調(diào)用InvokeDelegate。MagickCore/delegate.c定義了委托,最終InvokeDelegate調(diào)用ExternalDelegateCommand執(zhí)行命令。攻擊者利用漏洞上傳一個(gè)惡意圖像到目標(biāo)Web服務(wù)器上,程序解析圖像后可執(zhí)行嵌入的任意代碼,進(jìn)而可獲取服務(wù)器端敏感信息,甚至獲取服務(wù)器控制權(quán)限。

?CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。

二、漏洞影響范圍

漏洞影響ImageMagick? 6.9.3-9及以下的所有版本。

ImageMagick在網(wǎng)站服務(wù)器中應(yīng)用十分廣泛,包括Perl、C++、PHP、Python、Ruby等主流編程語言都提供了ImageMagick擴(kuò)展支持,且WordPress、Drupal等應(yīng)用非常廣泛的CMS系統(tǒng)軟件也提供了ImageMagick選項(xiàng),還包括其他調(diào)用了ImageMagick的庫實(shí)現(xiàn)圖片處理、渲染等功能的應(yīng)用。此外,如果通過shell 中的convert 命令實(shí)現(xiàn)一些圖片處理功能,也會(huì)受到此漏洞影響。

根據(jù)國內(nèi)民間漏洞報(bào)告平臺(tái)的收錄情況,已經(jīng)有多家知名互聯(lián)網(wǎng)企業(yè)網(wǎng)站系統(tǒng)受到漏洞威脅的案例。

三、漏洞修復(fù)建議

目前,互聯(lián)網(wǎng)上已經(jīng)披露了該漏洞的利用代碼,廠商尚未發(fā)布漏洞修復(fù)程序,預(yù)計(jì)近期在ImageMagick 7.0.1-1和6.9.3-10版本中修復(fù)該漏洞。CNVD建議相關(guān)用戶關(guān)注廠商主頁更新,及時(shí)下載使用,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

在廠商發(fā)布新版本之前,建議采用如下措施:通過配置策略文件暫時(shí)禁用ImageMagick,可在 “/etc/ImageMagick/policy.xml”文件中添加如下代碼:

<policymap>

?<policy domain="coder" rights="none"pattern="EPHEMERAL" />

?<policy domain="coder" rights="none"pattern="URL" />

?<policy domain="coder" rights="none"pattern="HTTPS" />

?<policy domain="coder" rights="none"pattern="MVG" />

?<policy domain="coder" rights="none"pattern="MSL" />

</policymap>

附:參考鏈接:

https://imagetragick.com/?(漏洞信息專題網(wǎng)站)

https://github.com/ImageTragick/PoCs?(本地漏洞檢測(cè)腳本)

https://www.exploit-db.com/exploits/39767/

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02721

http://www.freebuf.com/vuls/103504.html