首頁安全服務安全公告
正文

荒野行动手游透视:【緊急通告】ImageMagick命令執行漏洞

發布時間:2016-05-06 17:05   瀏覽次數:1838

荒野行动送点券了 www.iadvv.icu                                                                 

[2016年第06號]

尊敬的海峽用戶:

于昨日(2016-5-5)我公司安全服務中心關注到ImageMagick圖像處理軟件存在高危漏洞——遠程命令執行(CVE-2016-3714),如果服務器使用ImageMagick圖像處理軟件處理圖片,那么在圖片中嵌入惡意代碼,經過ImageMagick處理,即可觸發執行圖片中的惡意代碼。如果Web應用系統有上傳圖片功能???,且采用ImageMagick對上傳圖片進行處理,那么攻擊者就可上傳惡意圖片至服務器,經ImageMagick處理后,可導致遠程執行任意系統命令,危害極大。

【漏洞描述】

ImageMagick是一套功能強大、穩定而且開源的工具集和開發包, 可以用來讀、寫和處理超過90種的圖片文件,包括流行的JPEG、GIF、 PNG、PDF以及PhotoCD等格式。使用它可以對圖片進行切割、旋轉、組合等多種特效的處理,由于其功能強大、性能較好,并且對很多語言都有拓展支持,所以在程序開發中被廣泛使用。許多網站開發者喜愛使用ImageMagick拓展來做Web上的圖片處理工作,比如用戶頭像生成、圖片編輯等。

漏洞產生是因為ImageMagick對字符過濾不嚴謹、 對于文件名傳遞給后端的命令過濾不足,導致允許多種文件格式轉換過程中遠程執行代碼。

【漏洞分析】

ImageMagick內置了非常多的圖像處理庫,對于這些圖像處理庫,ImageMagick命名為“Delegate”(委托),每個Delegate對應一種格式的文件,然后通過系統的system()命令來調用外部的程序對文件進行處理。由于對傳遞的字符過濾不嚴格,導致任意命令執行漏洞。

【漏洞測試】

我司安全研究人員關注到此漏洞后, 對漏洞進行分析驗證測試,測試的poc如下:

首先構造一個精心準備的圖片,其圖片嵌入執行“id”的系統命令:

push graphic-context

viewbox 0 0 640 480

fill 'url(https://example.com/image.jpg"|id")'

pop graphic-context

將其保存為任意的擴展名,例如exp.jpg,然后通過調用ImageMagick去運行它:

convert exp.jpg out.png

ImageMagick將會去執行嵌入的代碼:id系統命令,我們發現嵌入的系統命令成功執行:


【發布日期】2016-5-6

 【受威脅對象】

調用ImageMagick的庫實現圖片處理和渲染的應用。

很多流行的內容管理系統(CMS)都使用了ImageMagick ,例如WordPress 、Discuz都使用ImageMagick對圖片進行處理,攻擊者只要上傳惡意圖片,即可遠程執行任意系統命令。

 【修復方案】

請檢查服務器是否有使用ImageMagick圖片處理軟件。

在 上傳圖片時需要通過文件內容來判斷用戶上傳的是否為真實圖片類型,Web管理員同時被建議在文件發送給ImageMagick處理前,檢查文件的 magic bytes。Magic bytes是一個文件的前幾個字節,被用于識別圖像類型,例如GIF,JPEG和PNG等。

使用策略配置文件來禁用ImageMagick的有風險的編碼器:ImageMagick全局策略配置文件在/etc/ImageMagick下對policy.xml最后一行進行增加下列配置:

vi /etc/ImageMagick/policy.xml

<policymap>

    <policy domain="coder" rights="none" pattern="EPHEMERAL" />

    <policy domain="coder" rights="none" pattern="URL" />

    <policy domain="coder" rights="none" pattern="HTTPS" />

    <policy domain="coder" rights="none" pattern="MVG" />

    <policy domain="coder" rights="none" pattern="MSL" />

</policymap>


福建省海峽信息技術有限公司 版權所有  聯系: [email protected] 閩ICP備06011901號 ? 1999-2019 Fujian Strait Information Corporation. All Rights Reserved.

返回頂部