作者：shotgun

链接：

来源：知乎

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

启明星辰积极防御实验室发布

ADLab安全通告：图像处理软件ImageMagick存在远程代码执行漏洞

一、漏洞事件

5月3日，图像处理软件ImageMagick被公布存在一个严重的0day漏洞(CVE-2016-3714)，攻击者通过此漏洞可执行任意命令，最终窃取重要信息取得服务器控制权。

二、漏洞分析

ImageMagick 在通过MagickCore/constitute.c 的 ReadImage 函数中解析图片时，使用 system() 指令调用来处理 HTTPS 请求，而对用户传入的 shell 参数没有做好过滤，导致此漏洞形成。

三、影响范围

ImageMagick是一款流行的图像处理软件，支持多种编程语言，包括Perl、C++、PHP、Python、Ruby和NodeJS等。此漏洞可影响众多网站、博客、社交媒体平台和内容管理系统(CMS)，例如WordPress、Drupal等各种可上传图片的网站，特别是可批量裁剪图片的网站。对企业用户威胁较大。

四、修复建议

目前，ImageMagick官方尚未针对此漏洞发布安全补丁，但此漏洞披露后，漏洞的EXP即被发布，并已通过邮件和论坛广泛传播。

启明星辰ADLab提醒广大用户，如果您在网站中使用了ImageMagick去识别、裁剪、或者调整用户上传的图像， 请务必确认已经采取了以下缓解措施：

1、文件发送给ImageMagick处理之前，检查文件的magic bytes，只接受有效的图像文件；

2、在配置文件policy.xml中添加以下配置策略，以缓解攻击。

重要网站建议进一步确认是否已经被上传了后门。

参考链接：

1. ImageTragick

2. GitHub – ImageTragick/PoCs: Proof of Concepts for CVE-2016