ImageMagick 嚴重漏洞導致大量網站面臨被黑風險

兩位俄羅斯的安全研究人員剛剛在著名的圖像處理庫 ImageMagick 中發現了嚴重的安全漏洞。ImageMagick 用在大量的網站中，所以這個發現的零日漏洞一舉將不計其數的網站暴露在安全攻擊面前。

該漏洞被稱之為「ImageTragick」，CVE 編號是 CVE-2016-3714。這個安全漏洞影響極其廣泛，因為 ImageMagick 是除了 GD 之外使用最多的圖像處理庫，被廣泛用於各種語言的圖像處理，比如 PHP、Java、Python、Ruby 等等。許多開源軟體，比如 WordPress、Drupal、Discuz 等都使用了它的圖像處理功能。

通過 ImageMagick 的漏洞可以黑掉網站

據兩位研究人員稱，ImageMagick 中有多個安全缺陷，但是這個漏洞會導致那些允許用戶上傳圖片（比如會員頭像）的網站受到惡意製作的圖片的攻擊。

目前這個零日漏洞已經被 ImageMagick 項目所證實，但是尚未有修復版本發布，需要等到這個周末才能釋出。不過，該項目提供了一些可以緩解該風險的方法。更多的緩解措施，可以參考 ImageTragick 網站 上的相關說明。

目前已經出現了驗證該漏洞的 PoC，比如這個和另一個。

攻擊者只需要找到能夠上傳圖片的網站就行了

ImageMagick 是很多圖像處理庫和模塊的基礎，大量的編程語言都使用它來處理圖像，比如 PHP、 Java、 Ruby、 JavaScript/Node.js 等等，而只要是用這些語言開發的網站就處於安全風險之中。

而唯一的條件就是網站允許用戶上傳圖片（比如用戶頭像）並使用 ImageMagick 相關的庫來處理它。

研究人員建議，要對上傳的圖片文件進行文件格式檢查，比如通過 Magic Byte 來判斷文件類型。Magic Byte 是一種通過文件頭部的特定位元組來判斷文件類型的機制。

通過該漏洞，攻擊者只需要構造一個特殊的文件，偽造成圖片上傳到伺服器，伺服器就會執行其中的任意代碼，這相當於將整個網站的許可權都交給了攻擊者。

請在相應的補丁出來請先做防禦性的緩解策略，並在更新版本出來後儘快更新。

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive