OurJS


OurJS-我们的JS, 我们的技术-IT文摘; 专注JS相关领域;
我们热爱编程, 我们热爱技术;我们是高大上, 有品味的码农;

欢迎您订阅我们的技术周刊


我们会向您分享我们精心收集整理的,最新的行业资讯,技术动态,外文翻译,热点文章;
我们使用第三方邮件列表向您推送,我们不保存您的任何个人资料,注重您的隐私,您可以随时退订,

欢迎分享您的观点,经验,技巧,心得

让我们一起找寻程序员的快乐,探索技术, 发现IT人生的乐趣;


本网站使用缓存技术每次加载仅需很小流量, 可在手机中流畅浏览;
如果您发现任何BUG,请即时告知我们: ourjs(at)ourjs.com

高危漏洞-ImageMagick图象处理软件存在远程代码执行漏洞


分享到
分类 骇客攻防   关键字 分享   发布 ourjs  1462451400803
注意 转载须保留原文链接,译文链接,作者译者等信息。  

ImageMagick是一款广泛流行的图像处理软件,有无数的网站使用它来进行图像处理,但在本周二,ImageMagick披露出了一个严重的0day漏洞,此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。Slack安全工程师Ryan Hube发现了这一0day漏洞。

如果你在网站中使用了ImageMagick去识别,裁剪或者调整用户上传的图像,你必须确认已经使用了这些缓解措施,并且调整你的代码只接受有效的图像文件,沙盒ImageMagick也是一个不错的主意。

在这个安全漏洞公布之后,这一漏洞的EXP也随即被发布,并被命名为:ImageTragick。漏洞的EXP已经通过邮件和论坛广泛传播,所以如果你使用了ImageMagick去处理用户输入,请立即采取相应的缓解措施。

ImageMagick被许多编程语言所支持,包括Perl,C++,PHP,Python和Ruby等,并被部署在数以百万计的网站,博客,社交媒体平台和流行的内容管理系统(CMS),例如WordPress和Drupal。

该漏洞的利用十分简单,通过上传一个恶意图像到目标Web服务器上,攻击者就可以执行任意代码,窃取重要信息,用户帐户等。

换句话说,只有采用了ImageMagick,且允许用户上传图像的网站,才会受到影响。

ImageMagick团队已经承认了此漏洞,称:

最近发布的漏洞报告……包含可能存在的远程代码执行。

虽然该团队还没有公布任何安全补丁,但它建议网站管理者应该在配置文件中添加几行代码去阻止攻击,至少在某些情况下可以防御。

Web管理员同时被建议在文件发送给ImageMagick处理前,检查文件的magic bytes。Magic bytes是一个文件的前几个字节,被用于识别图像类型,例如GIF,JPEG和PNG等。

为了让你更好地了解你将要面对的漏洞,下面提供一个可以瞒过ImageMagick的示例文件:

push graphic-context

viewbox 0 0 640 480

fill ‘url(https://example.com/image.jpg“|ls “-la)’

pop graphic-context

将其保存为任意的扩展名,例如expoit.jpg,然后通过ImageMagick去运行它

convert exploit.jpg out.png

是的,ImageMagick将会去执行嵌入的代码:ls -l命令。

将这条命令替换为其它的恶意命令,将会直接威胁到目标机器,不过你可能会触犯一些法律。


该漏洞将在ImageMagick 7.0.1-1和6.9.3-10版本中被修补,这些新版本预计将在周末前被公布。

预警:

ImageMagick的这个远程代码执行漏洞也将波及Wordpress博客网站以及Discuz论坛!有使用imageMagic模块来处理图片业务的公司&站长请注意:头像上传、证件上传、资质上传等方面的点尤其是使用到图片(批量)裁剪的业务场景!

漏洞描述:

据ImageMagick官方,目前程序存在一处远程命令执行漏洞(CVE-2016-3714),当其处理的上传图片带有攻击代码时,可远程实现远程命令执行,进而可能控制服务器,此漏洞被命名为ImageTragick。

ImageMagick是一款开源图片处理库,支持PHP、Ruby、NodeJS和Python等多种语言,使用非常广泛。包括PHP imagick、Ruby rmagick和paperclip以及NodeJS imagemagick等多个图片处理插件都依赖它运行。

可能的影响范围包括各类流行的内容管理系统(CMS)。

影响影响范围:

1、调用ImageMagick的库实现图片处理和渲染的应用。

ImageMagick 为多种语言提供了api。

2、很多流行的内容管理系统(CMS)使用了ImageMagick ,例如 WordPress 的图片处理插件已被证实存在远程命令执行的漏洞(Author 及以上权限用户执行)。

其他例如MediaWiki、phpBB和vBulletin 使用了ImageMagick 库生成缩略图,还有一些程序如LyX使用ImageMagick转换图片格式。以上应用可能受到此漏洞影响。

3、如果通过shell 中的convert 命令实现一些图片处理功能,也会受到此漏洞影响。

漏洞等级:

高危

解决方案:官方方案

通过配置策略文件暂时禁用ImageMagick,可在 “/etc/ImageMagick/policy.xml” 文件中添加如下代码:

<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap>

更多信息:

imagetragick.com : ImageMagick Is On Fire — CVE-2016–3714 TL;DR

漏洞本地检测POC :GitHub

 * 原文链接:thehackernewstheregister,watcher编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文地址: 点此
社区评论 ( Beta版 )
OnceDoc 您自己的企业内容管理系统——文档、流程、知识库、报表、网盘All In One

访问404页面,寻找丢失儿童
 热门文章 - 分享最多
  1. React vs Angular 2:冰与火之歌「译」
  2. 五个最佳案例带你解读 Node.js 的前后端之道
  3. 程序bug导致了天大的损失,要枪毙程序猿吗?
  4. 一个程序员是如何搞挂NPM和Node社区的
  5. 前端开发面试题
  6. NodeJS初学者教程:Node.js之HTTP
  7. 微软降低OneDrive的免费存储空间容量,个人云存储热度减退
  8. Google Cloud宣布加入NodeJS基金会
  9. 前端面试问题(二)-史上最全 前端开发面试问题及答案整理
  10. 如日中天的Uber究竟使用什么开发语言?
  11. AirJD-简单好用的免费建站工具

 相关阅读 - 骇客攻防
  1. 基于JavaScript的DDoS首次通过安全的浏览器发动攻击(百度被劫持攻击Github的原理和过程)
  2. Session劫持与Session-ID的安全长度
  3. Node.js安全教程:防止阻塞Event Loop的潜在攻击
  4. 避免Node.js中的命令行注入安全漏洞
  5. 提高NodeJS网站的安全性:Web服务器防黑客攻击技巧
  6. 浦发银行,请给我们一个解释!
  7. 你不知道的JavaScript用法,Hacker是这样写JS的
  8. QQ邮箱是如何泄密的:JSON劫持漏洞攻防原理及演练
  9. 为什么谷歌的JSON响应以while(1);开头?
  10. 技术宅黑入扎总Facebook主页 称不得已

 关键字 - 分享
  1. 企业开发小程序的过程中,这些方面必须重视!
  2. 企业开发微信小程序的过程中,最容易出现这些问题!
  3. 微商城想快速发展,软文营销工作必须做好!
  4. LEADTOOLS v19试用版安装指南图文详解
  5. Xamarin for Visual Studio v4.6发布,重新设计属性页和Manifest编辑器
  6. 开发小程序之前,这些问题必须考虑清楚!
  7. 微信小程序的出现,带给传统企业的优势!
  8. 微分销系统要提升,这些方面是重点!
  9. .Net文档图像处理工具包GdPicture.NET发布v14,提供最先进的PDF和文档成像技术
  10. Zend Studio使用教程:使用jQuery支持进行开发(一)

 欢迎订阅 - 技术周刊

我们热爱编程, 我们热爱技术; 我们是高端, 大气, 上档次, 有品味, 时刻需要和国际接轨的码农; 欢迎您订阅我们的技术周刊; 您只需要在右上角输入您的邮箱即可; 我们注重您的隐私,您可以随时退订.
加入我们吧! 让我们一起找寻码农的快乐,探索技术, 发现IT人生的乐趣;


 关注我们

我们的微信公众号: ourjs-com
打开微信扫一扫即可关注我们:
IT文摘-程序员(码农)技术周刊

ourjs官方微信号