安全预警:ImageMagick 图象处理软件存在远程代码执行(CVE-2016-3714)

ImageMagick是一款广泛流行的图像处理软件,有无数的网站使用它来进行图像处理,但在本周二,ImageMagick披露出了一个严重的 0day漏洞,此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。Slack安全工程师Ryan Hube发现了这一0day漏洞。

如果你在网站中使用了ImageMagick去识别,裁剪或者调整用户上传的图像,你必须确认已经使用了这些缓解措施,并且调整你的代码只接受有效的图像文件,沙盒ImageMagick也是一个不错的主意。

在这个安全漏洞公布之后,这一漏洞的EXP也随即被发布,并被命名为:Imagetragick。漏洞的EXP已经通过邮件和论坛广泛传播,所以如果你使用了ImageMagick去处理用户输入,请立即采取相应的缓解措施。

ImageMagick被许多编程语言所支持,包括Perl,C++,PHP,Python和Ruby等,并被部署在数以百万计的网站,博客,社交媒体平台和流行的内容管理系统(CMS),例如WordPress和Drupal。

该漏洞的利用十分简单,通过上传一个恶意图像到目标Web服务器上,攻击者就可以执行任意代码,窃取重要信息,用户帐户等

换句话说,只有采用了ImageMagick,且允许用户上传图像的网站,才会受到影响。
ImageMagick团队已经承认了此漏洞,称:
最近发布的漏洞报告……包含可能存在的远程代码执行。
虽然该团队还没有公布任何安全补丁,但它建议网站管理者应该在配置文件中添加几行代码去阻止攻击,至少在某些情况下可以防御。
Web管理员同时被建议在文件发送给ImageMagick处理前,检查文件的magic bytes。Magic bytes是一个文件的前几个字节,被用于识别图像类型,例如GIF,JPEG和PNG等。

为了让你更好地了解你将要面对的漏洞,下面提供一个可以瞒过ImageMagick的示例文件:

push graphic-context

viewbox 0 0 640 480

fill ‘url(https://example.com/image.jpg“|ls “-la)’

pop graphic-context

将其保存为任意的扩展名,例如expoit.jpg,然后通过ImageMagick去运行它
convert exploit.jpg out.png
是的,ImageMagick将会去执行嵌入的代码:ls -l命令。
将这条命令替换为其它的恶意命令,将会直接威胁到目标机器,不过你可能会触犯一些法律。
该漏洞将在ImageMagick 7.0.1-1和6.9.3-10版本中被修补,这些新版本预计将在周末前被公布。

====================================分割线================================
文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-10-28 03:17:02

安全预警:ImageMagick 图象处理软件存在远程代码执行(CVE-2016-3714)的相关文章

ImageMagick重大0day漏洞-远程代码执行

多的网站和漏洞都在使用ImageMagick处理图片,最近ImageMagick被爆出重大漏洞. 这个漏洞是由于当在转换图片format的时候,由于image decoder缺少了对文件名的过滤引起的远程代码执行. 重现如下: vim crack.jpg 添加如下内容: push graphic-context   viewbox 0 0 640 480   fill 'url(https://example.com/image.jpg"|ls "-la)'   pop graphic

ImageMagick远程代码执行漏洞CVE-2016-8707 绿盟科技发布安全威胁通告

在 ImageMagicks 的转换实用程序中, TIFF 图像压缩处理存在一个写边界的问题.攻击者利用一个精心编制的 TIFF 文件,可以导致的界限写,特别是可以利用的情况下进入远程执行代码.任何用户都可以利用特殊构造的TIFF触发这个漏洞. 针对这个漏洞,绿盟科技发布了安全威胁通告,全文见文末 ImageMagick远程代码执行漏洞CVE-2016-8707 此漏洞目前是与 ImageMagick转换实用程序捆绑在一起,它是一块非常受欢迎的软件.因此许多使用这个程序进行图像格式转换的 web

Linux下ImageMagick远程代码执行漏洞修复

漏洞描述:   ImageMagick是一款广泛流行的图像处理软件.近日,该软件被爆出存在远程代码执行漏洞,编号为CVE-2016–3714.此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码.由于ImageMagick应用十分广泛,目前已确定Wordpress等知名应用受此漏洞影响.   影响范围:   ImageMagick <= 6.9.3-9   漏洞修复:     安装最新版本的软件   一.下载软件包:   cd /usr/local/src #进入软件包存放目录

【重大漏洞预警】Windows两个关键远程代码执行漏洞

微软6月补丁日披露两个正在被利用的远程代码执行漏洞(CVE-2017-8543)Windows Search远程代码执行漏洞和(CVE-2017-8464)LNK文件(快捷方式)远程代码执行漏洞. 漏洞名称:Windows Search远程代码执行漏洞 漏洞编号:CVE-2017-8543 漏洞等级:严重 漏洞概要:Windows搜索服务(WSS)是windows的一项默认启用的基本服务.允许用户在多个Windows服务和客户端之间进行搜索.当Windows搜索处理内存中的对象时,存在远程执行代

绿盟科技网络安全威胁周报2017.12 关注fastjson远程代码执行漏洞 漏洞细节以及利用工具已经曝光

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-12,绿盟科技漏洞库本周新增44条,其中高危12条.本次周报建议大家关注 fastjson远程代码执行 .目前漏洞细节已经披露,可导致大规模对此漏洞的利用.强烈建议用户检查自己使用的fastjson是否为受影响的版本,如果是,请尽快升级. 焦点漏洞 fastjson远程代码执行 NSFOCUS ID 无 CVE ID 无 受影响版本 1.2.24及之前版本 漏洞点评 fastjson在反序列化时存在安全漏洞,攻击者可以通过提交一个精心构造

绿盟科技网络安全威胁周报2017.18 ​WordPress 远程代码执行/非授权重置密码漏洞CVE-2017-8295

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-18,绿盟科技漏洞库本周新增36条,其中高危5条.本次周报建议大家关注 WordPress 远程代码执行/非授权重置密码漏洞 . CVE-2016-10033是之前phpmailer在不同场景下的新利用,漏洞可使未经身份验证的远程攻击者在Web服务器用户上下文中执行任意代码,远程控制目标web应用.CVE-2017-8295存在于WordPress 4.7.4之前版本,远程攻击者通过构造密码重置请求,并伪造Host HTTP标识头,可以获

绿盟科技网络安全威胁周报2017.17 请关注Squirrelmail 远程代码执行漏洞CVE-2017-7692

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-17,绿盟科技漏洞库本周新增84条,其中高危40条.本次周报建议大家关注 Squirrelmail 远程代码执行漏洞 .SquirrelMail是以PHP编写的基于标准的webmail包.Squirrelmail 在1.4.22以前的版本中,由于在传递一个字符串给popen调用之前,没有对其进行过滤和无害化处理.因此攻击者有可能利用此漏洞在远程服务器上越权执行任意代码.目前Squirrelmail官方已经发布相关修复补丁,NSFOCUS建

PHP邮件Squirrelmail远程代码执行漏洞CVE-2017-7692 1.4.22以下版本均受影响 目前没有补丁

攻击者利用该漏洞可以越权执行任意代码,目前Squirrelmail 官方还没有发布相关修复补丁,但第三方提供了修复代码.绿盟科技发布漏洞预警通告,全文如下 北京时间4月19日晚,Squirrelmail被爆出存在一个远程代码执行漏洞(CVE-2017-7692,CNNVD-201704-561).该漏洞是由于在传递一个字符串给popen调用之前,没有对其进行过滤和无害化处理.因此攻击者有可能利用此漏洞在远程服务器上越权执行任意代码.该漏洞存在于initStream函数Deliver_SendMa

绿盟科技网络安全威胁周报2017.10 请关注Struts2远程代码执行漏洞CVE-2017-5638

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-10,绿盟科技漏洞库本周新增32条,其中高危1条.本次周报建议大家关注 Struts2 远程代码执行漏洞 CVE-2017-5638 .攻击者通过恶意的Content-Type值,可导致远程代码执行.目前,Apache官方已针对该漏洞已经发布安全公告和补丁.请受影响用户及时检查升级,修复漏洞. 焦点漏洞 Struts2 远程代码执行漏洞 NSFOCUS ID 36031 CVE ID CVE-2017-5638 受影响版本 Struts