数百万个网站用于处理图像的工具具有几种可能允许攻击者危及Web服务器的关键漏洞。让事情变得更糟,没有官方补丁,并且已经可用。
Nikolay Ermishkin从Mail.ru安全团队中发现了该漏洞,并向ImageMagick开发人员报告,他们在4月30日发布的6.9.3-9版中试图修复。但是,修复程序不完整,仍然可以利用漏洞。
此外,有证据表明,人们除了安全研究人员和ImageMagick开发人员是否了解缺陷,这就是他们的存在于周二公开披露的原因。可以通过将特制的图像上传到依赖ImageMagick来处理它们的Web应用程序来利用缺陷。
ImageMagick是一个命令行工具,可用于创建,编辑和转换大量图像文件格式。它的库是其他Web服务器包的基础,如PHP的Imagick,Ruby的Rmagick和PaperCli和Node.js的ImageMagick。
自公开披露周二以来,安全研究人员已经为这些问题制定了概念证明。这意味着攻击者也可以提高恶意的野生攻击的可能性。
安全研究人员被称为这组漏洞Imagetragick,并创建了一个网站,为网站开发人员和管理员提供更多信息,包括缓解建议,直到完整的补丁提供。
“验证所有图像文件以与您支持的图像文件类型相对应的预期的”魔词字节“开始,在向ImageMagick进行处理之前,”研究人员在网站上表示。“使用策略文件禁用漏洞的ImageMagick编码器。ImageMagick的全球政策通常在“/ etc / imagemagick”中找到。“
ImageMagick开发人员还建议基于策略的缓解,并在其支持论坛上发布了一个示例策略文件。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。