ImageMagick爆0day漏洞全球伺服器遭殃

沉默術士發表於2017-07-03

“0day漏洞”是指一些沒有公佈補丁的漏洞,或者是還沒有被漏洞發現者公佈出來的漏洞利用工具,作為網路安全的巨大威脅,往往會給你的伺服器致命一擊。5月3日,影像處理軟體ImageMagick就被公佈出一個嚴重的0day漏洞(CVE-2016-3714),攻擊者通過此漏洞可執行任意命令,最終竊取重要資訊取得伺服器控制權。

首先讓我們來了解一下“ImageMagick”這個影像處理軟體,ImageMagick是一個免費的建立、編輯、合成圖片的軟體。它可以讀取、轉換、寫入多種格式的圖片。圖片切割、顏色替換、各種效果的應用,圖片的旋轉、組合,文字,直線,多邊形,橢圓,曲線,附加到圖片伸展旋轉。ImageMagick是免費軟體:全部原始碼開放,可以自由使用,複製,修改,釋出,它遵守GPL許可協議,可以執行於大多數的作業系統,ImageMagick的大多數功能的使用都來源於命令列工具。

由於其強大的功能以及超強的可操作性,是的這款作圖軟體深得廣大辦公人士喜愛,正因為如此,此次0day漏洞所帶來的影響超乎了人們的想象。諸多網站論壇都深受其害,其中不乏百度、阿里、騰訊、新浪等知名網站,一時間,業界各大網站及企業都人人自危,紛紛自查,以免中招。

那麼這個漏洞是才去的怎樣一個攻擊方式呢?其實非常簡單,黑客只需上傳一張“被感染”的圖片就可以對網站程式的 imagick 擴充套件進行攻擊,利用漏洞執行圖片中內建的惡意命令。哪怕是提示圖片上傳失敗,imagick 擴充套件也會因程式碼流程而進行了處理,所以這種情況下即使圖片沒有真的傳到伺服器上,攻擊也是可以成功的,這也正是它最為可怕的地方。

目前該漏洞還沒有大面積爆發,但危機意識還是要有的,必要的自查防範依舊必不可少。既然此漏洞如此強悍,又有什麼方式可以擺脫漏洞的危害呢?截至出稿,軟體官方還沒能給出一個強有力的應對措施。但還是給出了一些臨時的應對措施。

聰明的人讀到這裡已經開始了自查模式,不要亡羊補牢,等到躺槍的時候就什麼都晚了,話不多說,小編也要閃人了,畢竟小編是一個未(hao)雨(chi)綢(lan)繆(zuo)的人。

此次漏洞不容小覷,望諸位珍重。
本文轉自d1net(轉載)


相關文章