ImageMagick内含可远端执行程式的重大安全漏洞
研究人员指出该漏洞只要是允许使用者上传图像的网站都会受到影响,骇客可上传恶意图像迫使伺服器执行任意程式。包括PHP的imagick、Ruby的rmagick与paperclip或nodejs的imagemagick,使用了ImageMagick或受影响函式库都会受到漏洞的波及。
安全研究人员Ryan Huber本周指出,受到各网站广泛採用的开放源码图像处理软体套件ImageMagick含有多个安全漏洞,当中最严重的漏洞将允许骇客自远端执行程式,且已有攻击程式出炉。
以C语言撰写的ImageMagick软体套件可用来显示、转换及编辑图像,支援逾200种图像格式,并可跨平台运作,估计至少有数百万台的网页伺服器採用ImageMagick 。
Huber表示,有不少图像处理外挂程式仰赖ImageMagick函式库,诸如PHP的imagick、Ruby的rmagick与paperclip,或是nodejs的imagemagick,不论是使用了ImageMagick或受影响的函式库都会受到波及。
Huber强调,他们相信已经有人得知该漏洞,并将对ImageMagick用户造成威胁。此一重大漏洞的编号为CVE-2016–3714,只要是允许使用者上传图像的网站都会受到影响,骇客可上传恶意图像以迫使伺服器执行任意程式。
Huber及ImageMagick专案都发表了暂时补救方案,建议网站新增多个原则网域(policy domain),并验证所有的图像档案。
安全研究人员Ryan Huber本周指出,受到各网站广泛採用的开放源码图像处理软体套件ImageMagick含有多个安全漏洞,当中最严重的漏洞将允许骇客自远端执行程式,且已有攻击程式出炉。
以C语言撰写的ImageMagick软体套件可用来显示、转换及编辑图像,支援逾200种图像格式,并可跨平台运作,估计至少有数百万台的网页伺服器採用ImageMagick 。
Huber表示,有不少图像处理外挂程式仰赖ImageMagick函式库,诸如PHP的imagick、Ruby的rmagick与paperclip,或是nodejs的imagemagick,不论是使用了ImageMagick或受影响的函式库都会受到波及。
Huber强调,他们相信已经有人得知该漏洞,并将对ImageMagick用户造成威胁。此一重大漏洞的编号为CVE-2016–3714,只要是允许使用者上传图像的网站都会受到影响,骇客可上传恶意图像以迫使伺服器执行任意程式。
Huber及ImageMagick专案都发表了暂时补救方案,建议网站新增多个原则网域(policy domain),并验证所有的图像档案。关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
HackerEye
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 凝众志者成其远 7904373
- 2 唐僧都开始卖房了 7809600
- 3 美企业主:靠中国赚来的财富惨遭毁灭 7713852
- 4 中国经济成推进世界经济的稳定源 7618273
- 5 爱尔兰一机构旧址发现800具幼童遗骨 7523908
- 6 已经没有人能阻止常州玩梗了 7425842
- 7 普京:俄准备支持伊朗发展和平核能 7333193
- 8 霍震霆曝儿子霍启仁已结婚 7235283
- 9 韩国空难致179死 警方已对15人立案 7144003
- 10 刘亦菲深夜聚餐后现身医院 7040849
