ImageMagick爆0day漏洞全球伺服器遭殃

“0day漏洞”是指一些沒有公佈補丁的漏洞，或者是還沒有被漏洞發現者公佈出來的漏洞利用工具，作為網路安全的巨大威脅，往往會給你的伺服器致命一擊。5月3日，影像處理軟體ImageMagick就被公佈出一個嚴重的0day漏洞(CVE-2016-3714)，攻擊者通過此漏洞可執行任意命令，最終竊取重要資訊取得伺服器控制權。

首先讓我們來了解一下“ImageMagick”這個影像處理軟體，ImageMagick是一個免費的建立、編輯、合成圖片的軟體。它可以讀取、轉換、寫入多種格式的圖片。圖片切割、顏色替換、各種效果的應用，圖片的旋轉、組合，文字，直線，多邊形，橢圓，曲線，附加到圖片伸展旋轉。ImageMagick是免費軟體：全部原始碼開放，可以自由使用，複製，修改，釋出，它遵守GPL許可協議，可以執行於大多數的作業系統，ImageMagick的大多數功能的使用都來源於命令列工具。

由於其強大的功能以及超強的可操作性，是的這款作圖軟體深得廣大辦公人士喜愛，正因為如此，此次0day漏洞所帶來的影響超乎了人們的想象。諸多網站論壇都深受其害，其中不乏百度、阿里、騰訊、新浪等知名網站，一時間，業界各大網站及企業都人人自危，紛紛自查，以免中招。

那麼這個漏洞是才去的怎樣一個攻擊方式呢?其實非常簡單，黑客只需上傳一張“被感染”的圖片就可以對網站程式的 imagick 擴充套件進行攻擊，利用漏洞執行圖片中內建的惡意命令。哪怕是提示圖片上傳失敗，imagick 擴充套件也會因程式碼流程而進行了處理，所以這種情況下即使圖片沒有真的傳到伺服器上，攻擊也是可以成功的，這也正是它最為可怕的地方。

目前該漏洞還沒有大面積爆發，但危機意識還是要有的，必要的自查防範依舊必不可少。既然此漏洞如此強悍，又有什麼方式可以擺脫漏洞的危害呢?截至出稿，軟體官方還沒能給出一個強有力的應對措施。但還是給出了一些臨時的應對措施。

聰明的人讀到這裡已經開始了自查模式，不要亡羊補牢，等到躺槍的時候就什麼都晚了，話不多說，小編也要閃人了，畢竟小編是一個未(hao)雨(chi)綢(lan)繆(zuo)的人。

此次漏洞不容小覷，望諸位珍重。
本文轉自d1net（轉載）