请立即联系主机服务商修复ImageTragick漏洞

最近几日,ImageMagick程序爆出一个被称作ImageTragick的安全漏洞,引起了许多用户的关注。所…

最近几日,ImageMagick程序爆出一个被称作ImageTragick的安全漏洞,引起了许多用户的关注。所有安装了ImageMagick的服务器都受这一漏洞的影响。因此,请立即尽快联系服务器管理员来修复这一安全漏洞。

首先声明,我们WordPress中文网( https://wpchina.org )提供的WordPress专业主机,已经在第一时间修复了这一漏洞,所用用户无需担心这一问题。

什么是ImageMagick?

ImageMagick是一个广泛应用于web服务的图片处理程序。许多图片处理插件都基于ImageMagick库进行工作,比如,PHP的imagick扩展,Ruby的rmagick和paperclip插件,Nodejs的imagemagick等。

这些使用ImageMagick图片处理库的应用,都受到ImageTragick问题的影响。

什么是ImageTragick漏洞?

ImageTragic漏洞是本次发现的ImageMagick多个漏洞的别称。这些漏洞分别是:

  1. CVE-2016-3714,Insufficient shell characters filtering leads to (potentially remote) code execution,即不完善的Shell字符过滤导致(有可能远程)代码执行。
  2. CVE-2016-3718,SSRF,全称Server-Side Request Forgery,即“服务器端请求伪造”漏洞。
  3. CVE-2016-3715,File deletion,文件删除。
  4. CVE-2016-3716,File moving,文件位置移动。
  5. CVE-2016-3717,Local file read,本地文件读取。

WordPress受到哪些影响?

如果用户在WordPress中上传了包含恶意代码的数据,可能会导致ImageMagick库执行以上一种或多种恶意行为。任何具有文件上传权限的WordPress用户,主要是WordPress的管理员、编辑、作者这三种用户,都有可能利用此漏洞来破坏网站安全。

如果没有及时修复该漏洞,该漏洞会允许远程代码执行(RCE)。

WordPress核心团队为何不修复此漏洞?

对WordPress用户来说,此问题的根源在于服务器上的PHP的Imagick扩展,而不是WordPress自身。在昨天发布WordPress 4.5.2版本安全更新版本的时候,WordPress团队对此做了说明。最好的处理办法,是在主机服务商层次来处理此次漏洞。

如何查看自己的网站是否易受攻击?

如果你使用的是独立服务器,或者VPS,那么通常需要你自己来处理这一问题。如果你使用的虚拟主机服务,请立即联系你的主机空间服务商,让他们来处理“ImageTragic漏洞(编号分别为CVE-2016-3714,CVE-2016-3718,CVE-2016-3715,CVE-2016-3716 和 CVE-2016-3717)”。

如果你的网站所在服务器安装了PHP Imagick扩展,那么你的网站就容易被攻击。你可以通过以下两种方式检查:

  1. 查看 phpinfo() 的输出,看看是否包含 Imagick 。
  2. 运行 php -m | grep imagick 命令。

如何修复此漏洞?

目前,ImageMagick开发团队已经修复了此漏洞,已经于2016年5月3日发布了ImageMagick 6.9.3-10版本(更新日志)。如果是自己管理的独立服务器或者VPS,请尽快安装最新版ImageMagick。如果使用的是虚拟主机空间,请联系主机服务商修复此问题。

我们WordPress中文网提供专业的WordPress主机,均已经安装最新版补丁,修复了此漏洞。

ImageTragick漏洞时间线

  • 2016年4月21日,Mail.Ru安全团队发现My.com网站的一个来自http://hackerone.com/stewie的服务存在文件读取漏洞,并向ImageMagick团队做了报告。
  • 2016年4月21日,My.com开发团队修复了文件读取漏洞。
  • 2016年4月28日,Mail.Ru安全团队的Nikolay Ermishkin在研究最初那篇博客文章的时候,发现ImageMagick存在代码执行漏洞。
  • 2016年4月30日,向ImageMagick开发团队报告了代码执行漏洞。
  • 2016年4月30日,ImageMagick开发团队修复了代码执行漏洞(不完全修复)。
  • 2016年4月30日,发布ImageMagick 6.9.3-9版本(不完全修复)。
  • 2016年5月1日,ImageMagic公布了此次修复。
  • 2016年5月2日,向”distros”邮件列表小组做了小范围的漏洞说明;
  • 2016年5月3日,发布ImageMagick 6.9.3-10版本(完全修复);
  • 2016年5月3日,公开发布了此次漏洞的详细说明。

进一步了解详细信息

更为详细的介绍,请查看其专题网站 https://imagetragick.com 。

 

类别:WordPress经验

本文收集自互联网,转载请注明来源。
如有侵权,请联系 wper_net@163.com 删除。

评论 (0)COMMENT