欢迎光临~~ 在这里你会看到一些工作中遇到的问题和生活中的感悟

ImageMagick wordpress漏洞临时修复

Linux Jake 573℃ 0评论

    最近被吵得沸沸扬扬的图像处理软件ImageMagick漏洞(CVE-2016-3714),攻击者通过此漏洞可执行任意命令,最终窃取重要信息取得服务器控制权。

首先让我们来了解一下“ImageMagick”这个图像处理软件,ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick是免费软件:全部源码开放,可以自由使用,复制,修改,发布,它遵守GPL许可协议,可以运行于大多数的操作系统,ImageMagick的大多数功能的使用都来源于命令行工具。

  那么这个漏洞是才去的怎样一个攻击方式呢?其实非常简单,黑客只需上传一张“被感染”的图片就可以对网站程序的 imagick 扩展进行攻击,利用漏洞执行图片中内置的恶意命令。哪怕是提示图片上传失败,imagick 扩展也会因代码流程而进行了处理,所以这种情况下即使图片没有真的传到服务器上,攻击也是可以成功的,这也正是它最为可怕的地方。

  目前该漏洞还没有大面积爆发,但危机意识还是要有的,必要的自查防范依旧必不可少。既然此漏洞如此强悍,又有什么方式可以摆脱漏洞的危害呢?截至出稿,软件官方还没能给出一个强有力的应对措施。但还是给出了一些临时的应对措施。

貌似wordpress官方还没有给出漏洞补丁,现在网上找到临时解决办法

Rewordpress WPImageEditorImagick 指令注入漏洞
 
 
在/wp-includes/media.php的_wp_image_editor_choose函数内部找到: 
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick' ,  'WP_Image_Editor_GD' ) ); 
修改为下面这行:(即调换最后数组的顺序) 
$implementations = apply_filters( 'wp_image_editors', array(  'WP_Image_Editor_GD' ,'WP_Image_Editor_Imagick' ) ); 
 
根据漏洞提示找到的,已经验证,状态结果为:“漏洞文件被修改”。

转载请注明:技术拾零 » ImageMagick wordpress漏洞临时修复

喜欢 (0)or分享 (0)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址