ImageMagick被爆高危漏洞

最新推荐文章于 2024-06-29 08:00:00 发布
最新推荐文章于 2024-06-29 08:00:00 发布
阅读量970 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a454213722/article/details/52431553
版权 
昨天收到阿里云的漏洞报告邮件,邮件内容

ImageMagick被爆高危漏洞(CVE-2016-3714),此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。黑客可利用此类漏洞盗取权限窃取数据。由于ImageMagick应用十分广泛,目前已确定Wordpress等知名应用受此漏洞影响。


ImageMagick被爆高危漏洞


影响范围: 


ImageMagick <= 6.9.3-9


当时没有在意,今天早上有收到百度发过来的邮件才开始注意了

漏洞验证方法:

若系统中安装使用了ImageMagick,本地执行如下命令:


convert 'https://example.com"|ls "-la' out.png
若ls -la 命令成功执行,说明存在漏洞。未执行ls 命令,并报错,说明不受影响。
百度云测的解决方法
修复建议(临时):
1、由于远程命令执行时,命令代码是包含在图片中上传的,所以在图片上传时需要对图片内容进行检验。
2、Linux临时防护方案 :编辑 /etc/ImageMagick/policy.xml ,在 之间增加以下几行
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
3、添加网站至云观测,及时了解网站组件突发/0day漏洞。
现在貌似还没有补丁来修复这个问题,只能在等等,阿里云服务已经不用在担心了云盾已经开始拦截了,阿里云还是挺靠谱的对于我们这种小网站

QQ交流群:136351212
查看原文:http://www.phpsong.com/2411.html
carson
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ImageMagick远程代码执行漏洞分析
fly小灰灰的专栏
08-12 7765
1. 漏洞描述 漏洞编号: CVE-2016-3714 发现人员: Slack安全工程师Ryan Hube 漏洞简述: 产生原因是因为字符过滤不严谨所导致的执行代码. 对于文件名传递给后端的命令过滤不足,导致允许多种文件格式转换过程中远程执行代码。 影响版本: ImageMagick6.5.7-8 2012-08-17 ImageMagick6.7.7-10 2014-03-06 低版本至6.9
深入浅析ImageMagick命令执行漏洞
12-23
由于其功能强大、性能较好,并且对很多语言都有拓展支持,所以在程序开发中被广泛使用。许多网站开发者喜爱使用ImageMagick拓展来做web上的图片处理工作,比如用户头像生成、图片编辑等。 01 漏洞描述 ImageMagick是一...
php imagemagick 漏洞,ImageMagick命令执行漏洞分析
weixin_39992483的博客
03-10 495
关于ImageMagickImageMagick是一个功能强大的开源图形处理软件,可以用来读、写和处理超过90种的图片文件,包括流行的JPEG、GIF、 PNG、PDF以及PhotoCD等格式。使用它可以对图片进行切割、旋转、组合等多种特效的处理。由于其功能强大、性能较好,并且对很多语言都有拓展支持,所以在程序开发中被广泛使用。许多网站开发者喜爱使用ImageMagick拓展来做web上的图片处理...
ImageMagick命令注入漏洞(CVE-2016–3714)
最新发布
qq_68163788的博客
06-29 734
ImageMagick命令注入漏洞(CVE-2016-3714)是一种安全漏洞,它影响了广泛使用的图像处理软件ImageMagick。该漏洞允许恶意用户通过操纵图像文件中嵌入的特定代码,来执行任意命令和从外部网络资源加载图片。这可能导致恶意用户在受影响的服务器上执行任意命令,引发各种潜在的安全风险。 对于系统管理员和开发人员来说,修复这种漏洞的最佳方法是升级到已经修复了这个问题的ImageMagick版本,并定期更新系统来防止类似漏洞的出现。此外,也可以禁用一些ImageMagick的功能
ImageMagick
$firecat利白的代码足迹$
12-02 341
使用ImageMagick的创建,编辑,撰写,或转换位图图像。它可以读取和写入各种格式(超过200种)的图像,包括PNG,JPEG,GIF,HEIC,TIFF,DPX,EXR,WebP,Postscript,PDF和SVG。使用ImageMagick可以调整图像大小,翻转,镜像,旋转,变形,剪切和变换图像,调整图像颜色,应用各种特殊效果或绘制文本,线条,多边形,椭圆和贝塞尔曲线。 ImageMa...
imagemagick php漏洞 解决方案,ImageMagick存在远程代码执行安全漏洞(CVE-2016-3714)附修复方法...
weixin_34258386的博客
03-17 187
ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。在本周二,ImageMagick披露出了一个严重的0day漏洞,此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。低于7.0.1-1和6.9.3-10版本均可能会有安全风险。...
wordpress ImageMagick漏洞
php小松
02-24 982
最近服务重新安装了,结果阿里云检查wordprss有漏洞ImageMagick爆高危漏洞 点阿里云的【立即修复】结果要钱, 网上找了修复方法,不知道有没有用 在 /wp-includes/media.php 的_wp_image_editor_choose 函数内部找到: $implementations = apply_filters( 'wp_image_editors', array(
ImageMagick:ImageImageMagick7
02-04
由于早期版本曾出现过安全漏洞,使得黑客可以通过恶意构造的图像文件进行攻击(比如"MagickWand"漏洞)。因此,更新到ImageMagick7是为了获得更好的安全性和性能优化。 标签中的"Hacktoberfest"是一项面向全球的...
php imagemagick 漏洞,ImageMagick漏洞EXP简易生成脚本
weixin_39524425的博客
03-10 139
前几天看到爆出了关于ImageMagick的远程执行漏洞(CVE-2016-3714),所以为了Evil0x.COM核心成员使用,写了一个exp生成脚本供大家使用。(免责声明,出了事我不管)总体来说这个脚本有三个功能生成针对NC反弹生成针对bash反弹生成针对php反射服务端都可以使用nc侦听,会反弹shell。生成图片默认exp.png 后缀可以自由更改为其他的图片格式什么叫做shell反弹?r...
ImageMagick-libs-7.0.7-28.x86_64.rpm
03-26
ImageMagick可以以各种格式读取和写入图像(超过200种),包括PNG,JPEG,JPEG-2000,GIF,TIFF,DPX,EXR,WebP,Postscript,PDF和SVG。使用 ImageMagick 调整大小,翻转,镜像,旋转,扭曲,剪切和变换图像,调整图像颜色,应用各种特殊效果,或绘制文本,线条,多边形,椭圆和Bézier曲线。
ImageMagick任意文件读取漏洞(CVE-2022-44268)
god_Zeo的安全博客
02-12 3797
爆出一个 ImageMagick 漏洞 CVE-2022-44268 ,在ImageMagick 7.1.0-51版本及以前 ,可以造成一个任意文件读取的危害比较可观,最近有时间来复现学习一下
ImageMagick命令注入漏洞(CVE-2016–3714)复现笔记
u011975363的专栏
06-18 2285
学习资料 https://www.cnblogs.com/bmjoker/p/9898590.html https://www.leavesongs.com/PENETRATION/CVE-2016-3714-ImageMagick.html 漏洞原理 ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。 但有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。 国外的安全人员为此新建了一个网站:
热门开源软件ImageMagick中出现多个新漏洞
smellycat000的专栏
02-02 1604
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员详述了开源软件 ImageMagick 中的两个漏洞详情,它们可导致拒绝服务和信息泄露后果。这两个漏洞是由拉美网络安全公司 etabase Q 在7.1.0-49版本中发现的,已在2022年11月发布的ImageMagick 7.1.0-52中修复。这两个漏洞是CVE-2022-44267和CVE-2022-44268:前者是一个D...
ImageMagick爆高危命令执行漏洞
热门推荐
煜铭2011
05-09 1万+
0x01 前言 ImageMagick是一套功能强大、稳定而且开源的工具集和开发包,可以用来读、写和处理超过89种基本格式的图片文件,包括流行的TIFF、JPEG、GIF、PNG、PDF以及PhotoCD等格式。众多的网站平台都是用他渲染处理图片。可惜在3号时被公开了一些列漏洞,其中一个漏洞可导致远程执行代码(RCE),如果你处理用户提交的图片。该漏洞是针对在野外使用此漏洞。许多图...
体验ImageMagick 命令执行漏洞(CVE-2016–3714)的PoC
公众号shadow sock7
09-09 3435
首先安装好docker。环境地址GitHub地址: https://github.com/Medicean/VulApps 镜像地址: https://hub.docker.com/r/medicean/vulapps/ 镜像的各种Tag: https://hub.docker.com/r/medicean/vulapps/tags/ 环境搭建获取镜像$ docker pull medi
php imagemagick漏洞,ImageMagick信息泄露漏洞CVE-2018-5357
weixin_32043813的博客
03-18 216
近日,ImageMagick爆出信息泄露漏洞,CVE编号CVE-2018-5357,攻击者可以利用这个问题获取敏感信息,从而有助于进一步攻击。ImageMagick 7.0.7-22 Q16受影响;其他版本也可能受到影响。该漏洞为绿盟科技提报,SecurityFocus发布预警通告,相关信息如下ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。Im...
升级ImageMagick到最新版本,修复 ImageMagick拒绝服务漏洞(CVE-2017-1000476)和ImageMagick远程代码执行漏洞(CVE-2016-8707)
天道酬勤
09-16 2609
https://www.imagemagick.org/download/linux/CentOS/x86_64/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值