今日頭條
官方微信
官方抖音
資訊頻道一個月后,圖像處理軟件ImageMagick再次被發現存在高危漏洞(CVE-2016-5118),可導致本地或可能的遠程代碼執行,由ImageMagick5.5.2 發展出來的圖像處理軟件GraphicsMagick亦存在此漏洞。
ImageMagick是一款開源的圖像處理軟件,該軟件能用作創建、編輯、合成圖片,支持多種編程語言,包括Perl、C++、PHP、Python、Ruby和NodeJS等,因此被眾多網站大量應用于識別、裁剪、或調整用戶上傳的圖片。
GraphicsMagick是ImageMagick的一個分支,號稱圖像處理領域的瑞士軍刀。 短小精悍的代碼卻提供了一個魯棒、高效的工具和庫集合,來處理圖像的讀取、寫入等操作,支持超過88種圖像格式,包括重要的DPX、GIF、JPEG、JPEG-2000、PNG、PDF、PNM和TIFF,可以在Linux、Mac、Windows等絕大多數的平臺上使用。GaphicsMagick支持大圖片的處理,能夠動態的生成圖片,特別適用于互聯網的應用。GaphicsMagick不僅支持命令行的模式,同時也支持C、C++、Perl、PHP、Tcl、Ruby等的調用。
漏洞危害
當GraphicsMagick和ImageMagick打開文件時,如果文件名的第一個字符為“|”,則文件名會被傳遞給shell程序使用POSIX函數popen()執行,文件打開操作由源文件blob.c中的OpenBlob()函數處理。攻擊者可借助文件名利用該漏洞執行shell代碼。
影響范圍
此漏洞可影響眾多網站、博客、社交媒體平臺和內容管理系統(CMS),例如WordPress、Drupal等各種可上傳圖片的網站,特別是可批量裁剪圖片的網站。對企業用戶威脅較大。
漏洞檢測
啟明星辰天鏡脆弱性掃描與管理系統V6.0目前已經支持對該漏洞進行檢測:
請天鏡脆弱性掃描與管理系統V6.0產品的用戶盡快升級到最新版本,及時對該漏洞進行檢測,以便盡快采取防范措施。
漏洞庫升級
天鏡脆弱性掃描與管理系統V6.0已于2016年6月2日緊急發布針對ImageMagick漏洞的升級包,用戶升級天鏡漏掃產品漏洞庫后即可對ImageMagick漏洞進行掃描:
6070版本升級包為607000024,升級包下載地址:
http://www.venustech.com.cn/DownFile/575/
6061版本升級包為6000458,升級包下載地址:
http://www.venustech.com.cn/DownFile/456/
漏洞修復建議
方案一:修改源代碼,重新編譯GraphicsMagick和ImageMagick
GraphicsMagick在文件magick/blob.c中增加以下內容:
#undef HAVE_POPEN
ImageMagick在文件MagickCore/blob.c中增加:
#undef MAGICKCORE_HAVE_POPEN
在配置文件中增加如下內容:
<policy domain="path" rights="none" pattern="|*" />
方案二:關注官方網站,及時升級到最新版本
目前廠商已經發布了升級補丁以修復此安全問題,詳情請關注廠商主頁: http://www.graphicsmagick.org/
PS:啟明星辰還貼心提供ImageMagick&GraphicsMagick本地漏洞檢測工具,提供給沒有天鏡脆弱性掃描與管理系統V6.0產品的用戶對該漏洞進行檢測:
1.運行ImageMagick-graphicmagic.py;
2. 執行結果如下:
有需要的用戶請聯系啟明星辰當地客戶代表獲取本地漏洞檢測工具。
北京市公安局海淀分局備案號:11010802023656號