图片来自pixabay。
ImageMagick是一款流行的图像处理手机软件,使用它进行图像处理的网站有成千上万个。然而,在周二,ImageMagick公布了一个严重的0day漏洞,该漏洞允许网络攻击基于上传一个具有故意结构的位图文件,在整体目标网络服务器上执行任意代码。Slack安全工程师RyanHube发现了这个0-0day漏洞。
如果您一直使用ImageMagick来识别、剪切或调整用户上传的图像,则必须确保您已经应用了此缓解措施,并调整您的代码以仅接受合理的位图文件。沙盒游戏ImageMagick也是一个非常好的想法。
该安全漏洞发布后,该漏洞的EXP随后被公布并命名为:Imagetragick。的漏洞EXP一直基于电子邮件和社区论坛不断开发,因此如果您应用ImageMagick解决用户打字问题,请立即采取有效的缓解措施。
ImageMagick被许多计算机语言使用,包括Perl、C、PHP、Python和Ruby,并已部署在数百个网站、博客、社交网络服务平台和流行的内容智能管理系统(CMS)中,如WordPress和Drupal。
这个漏洞的应用非常简单。根据上传一个有意的图像到整体目标Web服务器,网络攻击可以实现任意代码和窃取重要信息,用户帐户等。
也就是说,只有选择ImageMagick并允许用户上传图片的网站才会受到伤害。
ImageMagick精英团队已经认识到了这个漏洞,他们说:
最近发布的漏洞报告……包括可能存在的远程控制代码的实现。
虽然elite团队还没有发布所有的安全更新,但它建议网站管理员应该在环境变量中添加两行代码来阻止攻击,至少在某些情况下。
还建议网络管理员在将文档发送到ImageMagick进行解决之前检查文档的神奇字节。幻字节是文档的第一个字节,用来标识图片的类型,比如GIF,JPEG,PNG。
为了让您更好地掌握您将要处理的漏洞,这里有一个可以隐藏ImageMagick的示例文档:
推送图形-上下文
取景框00640480
“填充”URL(https://example.com/image.jpg“|ls”-la)
pop图形-上下文
保存为任意后缀,比如expoit.jpg,然后根据ImageMagick进行 *** 作。
皈依exploit.jpg·out.png
可以,ImageMagick可能会实现嵌入式代码:ls-l指令。
把这个指令换成其他有意的指令,可能会立刻威胁到整体的目标设备,但是你很可能违反了一些法律法规。
ImageMagick7.0.1-1和6.9.3-10版将修复该漏洞。这一最新版本预计将于周末前发布。
*全文链接:thehackernews,theregister,watchercompiler,转载请注明摘录来自FreeBuf网络黑客与极客(FreeBuf.COM)
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)