WP_Image_Editor_Imagick 漏洞臨時解決方法

大雄45發表於2022-09-27
導讀 阿里雲推送的一條簡訊通知:存放在上面的WordPress程式有WP_Image_Editor_Imagick漏洞問題,需要登入後臺補丁等等的暗示。當然,如果需要線上補丁則需要升級阿里雲的安騎士專業版,100元/5臺/月。其實對於我們來說我們沒有必要去購買這個服務,因為這個漏洞並不是由於Wordpress程式本身造成的,而是由於ImageMagick這個PHP影像處理模組爆出的“0day”漏洞所引發的。

WP_Image_Editor_Imagick 漏洞臨時解決方法WP_Image_Editor_Imagick 漏洞臨時解決方法
先來說下ImageMagick這個模組,ImageMagick是一個免費的建立、編輯、合成圖片的軟體。它可以讀取、轉換、寫入多種格式的圖片。圖片切割、顏色替換、各種效果的應用,圖片的旋轉、組合,文字,直線,多邊形,橢圓,曲線,附加到圖片伸展旋轉。ImageMagick是免費軟體:全部原始碼開放,可以自由使用,複製,修改,釋出,它遵守GPL許可協議,可以執行於大多數的作業系統,ImageMagick的大多數功能的使用都來源於 行工具。由於其強大的功能以及超強的可操作性,是的這款作圖軟體深得廣大辦公人士喜愛,正因為如此,此次0day漏洞所帶來的影響超乎了人們的想象。諸多網站論壇都深受其害,其中不乏百度、阿里、騰訊、新浪等知名網站,一時間,業界各大網站及企業都人人自危,紛紛自查,以免中招。

那麼對於我們來說,如果去解決這個漏洞呢?

1.最完善的解決方案是“等”:

等ImageMagick的官方更新,並將其升級到最新版本。不過這似乎要等段時間。

2.ImageMagick官方給出了一個臨時解決方案:

透過配置檔案,禁用ImageMagick。
在“/etc/ImageMagick/policy.xml” 檔案中新增如下程式碼:

<policymap>
 
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
 
<policy domain="coder" rights="none" pattern="URL" />
 
<policy domain="coder" rights="none" pattern="HTTPS" />
 
<policy domain="coder" rights="none" pattern="MVG" />
 
<policy domain="coder" rights="none" pattern="MSL" />
 
</policymap>
3.關於wordpress的臨時解決方法。

將wordpress的預設圖片處理庫優先順序改為GD優先,這也是阿里雲給出的臨時解決方案:(不過我就不要錢了,其實也很簡單)
在wp-includes/media.php中搜尋:

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

修改為:

$implementations = apply_filters( 'wp_image_editors', array('WP_Image_Editor_GD','WP_Image_Editor_Imagick' ) );

問題臨時解決。

原文來自: https://www.linuxprobe.com/imagemagick-loopholes-solution.html


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2916313/,如需轉載,請註明出處,否則將追究法律責任。

相關文章