ImageMagick內含可遠端執行程式的重大安全漏洞

jis2577

研究人員指出該漏洞只要是允許使用者上傳圖像的網站都會受到影響，駭客可上傳惡意圖像迫使伺服器執行任意程式。包括PHP的imagick、Ruby的rmagick與paperclip或nodejs的imagemagick，使用了ImageMagick或受影響函式庫都會受到漏洞的波及。

安全研究人員Ryan Huber本周指出，受到各網站廣泛採用的開放源碼圖像處理軟體套件ImageMagick含有多個安全漏洞，當中最嚴重的漏洞將允許駭客自遠端執行程式，且已有攻擊程式出爐。
以C語言撰寫的ImageMagick軟體套件可用來顯示、轉換及編輯圖像，支援逾200種圖像格式，並可跨平台運作，估計至少有數百萬台的網頁伺服器採用ImageMagick 。
Huber表示，有不少圖像處理外掛程式仰賴ImageMagick函式庫，諸如PHP的imagick、Ruby的rmagick與paperclip，或是nodejs的imagemagick，不論是使用了ImageMagick或受影響的函式庫都會受到波及。
Huber強調，他們相信已經有人得知該漏洞，並將對ImageMagick用戶造成威脅。此一重大漏洞的編號為CVE-2016–3714，只要是允許使用者上傳圖像的網站都會受到影響，駭客可上傳惡意圖像以迫使伺服器執行任意程式。
Huber及ImageMagick專案都發表了暫時補救方案，建議網站新增多個原則網域（policy domain），並驗證所有的圖像檔案。

ycy

imagemagick 的应用还是挺广的……  估计要有一大波网站遭殃了~