IT博客汇
  • 首页
  • 精华
  • 技术
  • 设计
  • 资讯
  • 扯淡
  • 权利声明
    • 登录 注册

    请立即联系主机服务商修复ImageTragick漏洞

    Jiang发表于 2016-05-08 01:27:49
    love 0

    最近几日,ImageMagick程序爆出一个被称作ImageTragick的安全漏洞,引起了许多用户的关注。所有安装了ImageMagick的服务器都受这一漏洞的影响。因此,请立即尽快联系服务器管理员来修复这一安全漏洞。

    首先声明,我们WordPress中文网( http://wpchina.org )提供的WordPress专业主机,已经在第一时间修复了这一漏洞,所用用户无需担心这一问题。

    什么是ImageMagick?

    ImageMagick是一个广泛应用于web服务的图片处理程序。许多图片处理插件都基于ImageMagick库进行工作,比如,PHP的imagick扩展,Ruby的rmagick和paperclip插件,Nodejs的imagemagick等。

    这些使用ImageMagick图片处理库的应用,都受到ImageTragick问题的影响。

    什么是ImageTragick漏洞?

    ImageTragic漏洞是本次发现的ImageMagick多个漏洞的别称。这些漏洞分别是:

    1. CVE-2016-3714,Insufficient shell characters filtering leads to (potentially remote) code execution,即不完善的Shell字符过滤导致(有可能远程)代码执行。
    2. CVE-2016-3718,SSRF,全称Server-Side Request Forgery,即“服务器端请求伪造”漏洞。
    3. CVE-2016-3715,File deletion,文件删除。
    4. CVE-2016-3716,File moving,文件位置移动。
    5. CVE-2016-3717,Local file read,本地文件读取。

    WordPress受到哪些影响?

    如果用户在WordPress中上传了包含恶意代码的数据,可能会导致ImageMagick库执行以上一种或多种恶意行为。任何具有文件上传权限的WordPress用户,主要是WordPress的管理员、编辑、作者这三种用户,都有可能利用此漏洞来破坏网站安全。

    如果没有及时修复该漏洞,该漏洞会允许远程代码执行(RCE)。

    WordPress核心团队为何不修复此漏洞?

    对WordPress用户来说,此问题的根源在于服务器上的PHP的Imagick扩展,而不是WordPress自身。在昨天发布WordPress 4.5.2版本安全更新版本的时候,WordPress团队对此做了说明。最好的处理办法,是在主机服务商层次来处理此次漏洞。

    如何查看自己的网站是否易受攻击?

    如果你使用的是独立服务器,或者VPS,那么通常需要你自己来处理这一问题。如果你使用的虚拟主机服务,请立即联系你的主机空间服务商,让他们来处理“ImageTragic漏洞(编号分别为CVE-2016-3714,CVE-2016-3718,CVE-2016-3715,CVE-2016-3716 和 CVE-2016-3717)”。

    如果你的网站所在服务器安装了PHP Imagick扩展,那么你的网站就容易被攻击。你可以通过以下两种方式检查:

    1. 查看 phpinfo() 的输出,看看是否包含 Imagick 。
    2. 运行 php -m | grep imagick 命令。

    如何修复此漏洞?

    目前,ImageMagick开发团队已经修复了此漏洞,已经于2016年5月3日发布了ImageMagick 6.9.3-10版本(更新日志)。如果是自己管理的独立服务器或者VPS,请尽快安装最新版ImageMagick。如果使用的是虚拟主机空间,请联系主机服务商修复此问题。

    我们WordPress中文网提供专业的WordPress主机,均已经安装最新版补丁,修复了此漏洞。

    ImageTragick漏洞时间线

    • 2016年4月21日,Mail.Ru安全团队发现My.com网站的一个来自http://hackerone.com/stewie的服务存在文件读取漏洞,并向ImageMagick团队做了报告。
    • 2016年4月21日,My.com开发团队修复了文件读取漏洞。
    • 2016年4月28日,Mail.Ru安全团队的Nikolay Ermishkin在研究最初那篇博客文章的时候,发现ImageMagick存在代码执行漏洞。
    • 2016年4月30日,向ImageMagick开发团队报告了代码执行漏洞。
    • 2016年4月30日,ImageMagick开发团队修复了代码执行漏洞(不完全修复)。
    • 2016年4月30日,发布ImageMagick 6.9.3-9版本(不完全修复)。
    • 2016年5月1日,ImageMagic公布了此次修复。
    • 2016年5月2日,向”distros”邮件列表小组做了小范围的漏洞说明;
    • 2016年5月3日,发布ImageMagick 6.9.3-10版本(完全修复);
    • 2016年5月3日,公开发布了此次漏洞的详细说明。

    进一步了解详细信息

    更为详细的介绍,请查看其专题网站 https://imagetragick.com 。

     



沪ICP备19023445号-2号
友情链接