攻击者开始利用 ImageMagick 漏洞攻击网站

oschina
 oschina
发布于 2016年05月11日
收藏 16

安全研究人员称,攻击者没有浪费一点时间,开始利用刚刚曝出的ImageMagick高危漏洞去执行恶意代码以控制网站的Web服务器。ImageMagick是一个广泛使用的图像处理库,它的一个高危漏洞允许远程代码执行,攻击者上传植入恶意代码的图像,Web服务器在处理时能被利用执行攻击者选择的代码。开发者尚未释出修正漏洞的补丁。CloudFlare的研究员 John Graham-Cumming在官方博客上称,攻击者正在利用该漏洞攻击网站。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:攻击者开始利用 ImageMagick 漏洞攻击网站
资讯来源:Solidot
加载中

最新评论(21

alexleft
alexleft
大多数再用GD2吧?ImageMagick在一般的环境下都不被支持的。要自己加装。
东方星痕
东方星痕

引用来自“水人”的评论

这个是不是先要取得上传权限先才可以利用这个漏洞?

引用来自“吾爱”的评论

上传头像、照片等等

引用来自“buran”的评论

还是很疑惑,ImageMagick 是一个图片编辑软件,难道平常的网站需要用这个?如上所说的上传头像或者图片在一般网站上都不具备编辑功能,最多也就是简单的大小缩放和截取而已,用js插件就搞定。估计那些在线图片编辑的网站估计才会用到ImageMagick吧,猜测而已,还有就是这样的网站不多,所以影响范围也不大吧。所以实在想不出这漏洞怎么会影响web服务器。哪位高人给科普点。

引用来自“hawkyoung”的评论

许多流行的建站系统用户上传图像大小缩放和截取功能可能背后是用ImageMagick实现的
比如fastdfs
j
jyh149129

引用来自“-启曙-”的评论

这个漏洞上周已经修复了的,升级后就ok了
修复了?怎么都是在说临时补丁
fkpwolf
fkpwolf

引用来自“水人”的评论

这个是不是先要取得上传权限先才可以利用这个漏洞?

引用来自“吾爱”的评论

上传头像、照片等等

引用来自“buran”的评论

还是很疑惑,ImageMagick 是一个图片编辑软件,难道平常的网站需要用这个?如上所说的上传头像或者图片在一般网站上都不具备编辑功能,最多也就是简单的大小缩放和截取而已,用js插件就搞定。估计那些在线图片编辑的网站估计才会用到ImageMagick吧,猜测而已,还有就是这样的网站不多,所以影响范围也不大吧。所以实在想不出这漏洞怎么会影响web服务器。哪位高人给科普点。

引用来自“人仁”的评论

首先js肯定做不了你说的那些功能,必须由flash或者服务器端程序配合才行,而flash现在支持的浏览器越来越少。那么更多的就是用服务器端配合的方式来做了。那服务器端的解决方案很多就用到了ImageMagick做基础库。就像你说的基本功能缩放图什么的都什么用到ImageMagick,就样一来攻击的基本链条不就通了吗?

引用来自“Raphael_goh”的评论

用canvas简单的缩放截取已经没什么问题了,Github上有好多基于html5的图片处理js库

引用来自“人仁”的评论

可是客户端上来的东西必然不能直接信任还是得二次处理,二次处理又需要用这东东了(当然还可以用别的)

引用来自“buran”的评论

看来如果需要对上传后的图片进行其他的二次复杂处理的话,还是有可能会用到ImageMagick,如@hell0cat和@透过玻璃的光 提到的对不同平台、不同图片分辨率、缩略图什么的处理,JS对图片简单操作没问题,上面说的JS估计就处理不来了,而且这些处理最好的方式是在后台处理好了再返回给client,优化传输和响应。
有些比如图片打水印,只能在后段做。其他都是扯。
eechen
eechen
PHP主干代码内置实现有一个GD图形处理扩展,一般都不用,一般处理足够了,不需要碰ImageMagick.
buran
buran

引用来自“水人”的评论

这个是不是先要取得上传权限先才可以利用这个漏洞?

引用来自“吾爱”的评论

上传头像、照片等等

引用来自“buran”的评论

还是很疑惑,ImageMagick 是一个图片编辑软件,难道平常的网站需要用这个?如上所说的上传头像或者图片在一般网站上都不具备编辑功能,最多也就是简单的大小缩放和截取而已,用js插件就搞定。估计那些在线图片编辑的网站估计才会用到ImageMagick吧,猜测而已,还有就是这样的网站不多,所以影响范围也不大吧。所以实在想不出这漏洞怎么会影响web服务器。哪位高人给科普点。

引用来自“人仁”的评论

首先js肯定做不了你说的那些功能,必须由flash或者服务器端程序配合才行,而flash现在支持的浏览器越来越少。那么更多的就是用服务器端配合的方式来做了。那服务器端的解决方案很多就用到了ImageMagick做基础库。就像你说的基本功能缩放图什么的都什么用到ImageMagick,就样一来攻击的基本链条不就通了吗?

引用来自“Raphael_goh”的评论

用canvas简单的缩放截取已经没什么问题了,Github上有好多基于html5的图片处理js库

引用来自“人仁”的评论

可是客户端上来的东西必然不能直接信任还是得二次处理,二次处理又需要用这东东了(当然还可以用别的)
看来如果需要对上传后的图片进行其他的二次复杂处理的话,还是有可能会用到ImageMagick,如@hell0cat和@透过玻璃的光 提到的对不同平台、不同图片分辨率、缩略图什么的处理,JS对图片简单操作没问题,上面说的JS估计就处理不来了,而且这些处理最好的方式是在后台处理好了再返回给client,优化传输和响应。
hell0cat
hell0cat

引用来自“水人”的评论

这个是不是先要取得上传权限先才可以利用这个漏洞?

引用来自“吾爱”的评论

上传头像、照片等等

引用来自“buran”的评论

还是很疑惑,ImageMagick 是一个图片编辑软件,难道平常的网站需要用这个?如上所说的上传头像或者图片在一般网站上都不具备编辑功能,最多也就是简单的大小缩放和截取而已,用js插件就搞定。估计那些在线图片编辑的网站估计才会用到ImageMagick吧,猜测而已,还有就是这样的网站不多,所以影响范围也不大吧。所以实在想不出这漏洞怎么会影响web服务器。哪位高人给科普点。
有很多,比如前端根据屏幕分辨率传递给后端 http://.../image/?screen=320x480,后端根据接收到的参数动态裁剪图片,输出对应的尺寸,以达到最快响应、最小加载、优化体验。还有很多图片是动态抓取的,不是用户上传的,当然也需要服务端来处理。
dxbj1010
dxbj1010
15才用了一个月,这就16了。
梦想岛
梦想岛
现在都用阿里云,腾讯云,可以实时的RESTful。基本满足图片处理了。水印有点麻烦而已
返回顶部
顶部