×

又一高危漏洞来袭,您的服务器控制权还在么?
  

深信服安全产品研发 6728

{{ttag.title}}
作者简介:
千里目安全实验室,隶属某公司北京安全研究部。拥有专业核心白帽子团队和开发团队,致力于网络安全攻防技术的研究和积累,依靠创新理念引领工作,在攻与防的对立统一中寻求技术突破。






漏洞预警:ImageMagick图像处理软件远程代码执行漏洞(CVE-2016-3714



5月3日,ImageMagick图像处理软件被公布存在一个严重的0day漏洞(CVE-2016-3714),攻击者通过此漏洞可执行任意命令,最终窃取重要信息取得服务器控制权。

千里百科                                          

ImageMagick是一款功能强大、稳定并开源的图片处理库(类似库还有 gd等),可以读、写处理几乎所有常见的图片格式,网站程序可以利用 ImageMagick 对图片进行瘦身、旋转、锐化以及其他特效处理操作。


网站中常见的场景比如用户头像上传、远程图片抓取、图片在线编辑,图片压缩等功能就很可能使用该扩展进行处理。因此该漏洞可影响众多网站、博客、社交媒体平台和内容管理系统 ( CMS ),例如 WordPress、Drupal 等各种可上传图片的网站,特别是可批量裁剪图片的网站。

漏洞预警                                            

ImageMagick的这个远程代码执行漏洞波及Wordpress博客网站以及Discuz论坛!有使用imageMagic模块来处理图片业务的公司&站长请注意:头像上传、证件上传、资质上传等方面的点尤其是使用到图片(批量)裁剪的业务场景。

漏洞描述                                            

5 月 3 日, ImageMagick  的官方披露称,目前提供给用户使用的程序存在一处远程命令执行漏洞(CVE-2016–3714),当其处理的上传图片带有恶意攻击代码时,就可以远程执行任意代码&命令,获取服务器的操作权限。

ImageMagick 支持 PHP、Ruby、NodeJS 和 Python 等多种语言,使用非常广泛。包括 PHP imagick、Ruby rmagick 和 paperclip 以及 NodeJS imagemagick 等多个图片处理插件都依赖它运行。可能的影响范围包括各类流行的内容管理系统(CMS)。

在这个安全漏洞公布之后,此漏洞的EXP也随即被发布,并被命名为: ImageTragick。漏洞的 EXP 已经通过邮件和论坛广泛传播。

该漏洞的利用十分简单,通过上传一个恶意图像到目标 Web 服务器上,攻击者就可以执行任意代码,窃取重要信息,用户帐户等。

目前已有大批知名的网站受此漏洞波及,如下图:


漏洞分析                                               

ImageMagick 在通过MagickCore/constitute.c 的 ReadImage 函数中解析图片时,使用 system() 指令调用来处理 HTTPS  请求,而对用户传入的 shell 参数没有做好过滤,导致此漏洞形成。

这个漏洞影响 ImageMagick6.9.3-9 以前是所有版本,包括 ubuntu 源中安装的ImageMagick。而官方在 6.9.3-9 版本中对此漏洞没有进行完全的修复。

检测方法                                             

检测工具及检测方法,请访问 :http://sec.sangfor.com.cn/vulns/290.html

检测说明:在linux下运行: bash imagmagick.sh, 如果出现vulnerable证明有漏洞存在,如果出现 not vulnerable证明没有漏洞。

修复建议                                             

1、将ImageMagick升级至6.9.3-10版本

2、通过配置策略文件暂时禁用ImageMagick,可在“/etc/ImageMagick/policy.xml”文件中添加如下代码:

<policymap>
  <policy domain="coder"rights="none" pattern="EPHEMERAL" />
  <policy domain="coder"rights="none" pattern="URL" />
  <policy domain="coder"rights="none" pattern="HTTPS" />
  <policy domain="coder"rights="none" pattern="MVG" />
  <policy domain="coder"rights="none" pattern="MSL" />
</policymap>

小伙伴们,赶快验证一下!

关于ImageMagick图像处理软件远程代码执行漏洞,您了解多少?

欢迎跟帖讨论!

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

Sangfor_闪电回_朱丽 发表于 2016-5-6 10:58
  

影响范围,仅供参考:
1、调用ImageMagick的库实现图片处理和渲染的应用。
ImageMagick 为多种语言提供了api,具体可参考http://www.imagemagick.org/script/api.php

2、一些流行的内容管理系统(CMS)使用了ImageMagick ,例如 Wordpress 的图片处理插件已被证实存在远程命令执行的漏洞(Author 及以上权限用户执行)。其他例如MediaWiki、phpBB和vBulletin 使用了ImageMagick 库生成缩略图,还有一些程序如LyX使用ImageMagick转换图片格式。以上应用可能受到此漏洞影响。

3、如果通过shell 中的convert 命令实现一些图片处理功能,也会受到此漏洞影响。
稻草 发表于 2016-5-9 19:49
  
基本不懂,好在有AF,已更新!
Anony 发表于 2016-5-10 09:09
  
这个漏洞之前在乌云平台有曝光过
RegGuo 发表于 2016-5-10 21:46
  
XiaoYang 发表于 2016-5-11 13:53
  
之前帮别人安装过这款插件,用于绘制个性图片信息,关于漏洞的事儿,也是刚刚知晓,以后在安装的时候也有个底。咋这里也是学习了,关于这个工具,它就是一个shell脚本,当然是安全的,自己可以进行编辑查看的
魅力长安 发表于 2016-5-12 08:48
  
{:5_119:}
老眼 发表于 2016-5-19 17:13
  
检测工具是绝对绿色的,希望以后的漏洞形式都会附带个检测工具,shell和python最佳
当明天不再出现 发表于 2019-5-8 10:26
  
一般的问题都能在这里解决。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
信服课堂视频
GIF动图学习
产品连连看
技术咨询
2023技术争霸赛专题
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人