最近几日,ImageMagick程序爆出一个被称作ImageTragick的安全漏洞,引起了许多用户的关注。所有安装了ImageMagick的服务器都受这一漏洞的影响。因此,请立即尽快联系服务器管理员来修复这一安全漏洞。
首先声明,我们WordPress中文网( https://wpchina.org )提供的WordPress专业主机,已经在第一时间修复了这一漏洞,所用用户无需担心这一问题。
什么是ImageMagick?
ImageMagick是一个广泛应用于web服务的图片处理程序。许多图片处理插件都基于ImageMagick库进行工作,比如,PHP的imagick扩展,Ruby的rmagick和paperclip插件,Nodejs的imagemagick等。
这些使用ImageMagick图片处理库的应用,都受到ImageTragick问题的影响。
什么是ImageTragick漏洞?
ImageTragic漏洞是本次发现的ImageMagick多个漏洞的别称。这些漏洞分别是:
- CVE-2016-3714,Insufficient shell characters filtering leads to (potentially remote) code execution,即不完善的Shell字符过滤导致(有可能远程)代码执行。
- CVE-2016-3718,SSRF,全称Server-Side Request Forgery,即“服务器端请求伪造”漏洞。
- CVE-2016-3715,File deletion,文件删除。
- CVE-2016-3716,File moving,文件位置移动。
- CVE-2016-3717,Local file read,本地文件读取。
WordPress受到哪些影响?
如果用户在WordPress中上传了包含恶意代码的数据,可能会导致ImageMagick库执行以上一种或多种恶意行为。任何具有文件上传权限的WordPress用户,主要是WordPress的管理员、编辑、作者这三种用户,都有可能利用此漏洞来破坏网站安全。
如果没有及时修复该漏洞,该漏洞会允许远程代码执行(RCE)。
WordPress核心团队为何不修复此漏洞?
对WordPress用户来说,此问题的根源在于服务器上的PHP的Imagick扩展,而不是WordPress自身。在昨天发布WordPress 4.5.2版本安全更新版本的时候,WordPress团队对此做了说明。最好的处理办法,是在主机服务商层次来处理此次漏洞。
如何查看自己的网站是否易受攻击?
如果你使用的是独立服务器,或者VPS,那么通常需要你自己来处理这一问题。如果你使用的虚拟主机服务,请立即联系你的主机空间服务商,让他们来处理“ImageTragic漏洞(编号分别为CVE-2016-3714,CVE-2016-3718,CVE-2016-3715,CVE-2016-3716 和 CVE-2016-3717)”。
如果你的网站所在服务器安装了PHP Imagick扩展,那么你的网站就容易被攻击。你可以通过以下两种方式检查:
- 查看 phpinfo() 的输出,看看是否包含 Imagick 。
- 运行 php -m | grep imagick 命令。
如何修复此漏洞?
目前,ImageMagick开发团队已经修复了此漏洞,已经于2016年5月3日发布了ImageMagick 6.9.3-10版本(更新日志)。如果是自己管理的独立服务器或者VPS,请尽快安装最新版ImageMagick。如果使用的是虚拟主机空间,请联系主机服务商修复此问题。
我们WordPress中文网提供专业的WordPress主机,均已经安装最新版补丁,修复了此漏洞。
ImageTragick漏洞时间线
- 2016年4月21日,Mail.Ru安全团队发现My.com网站的一个来自http://hackerone.com/stewie的服务存在文件读取漏洞,并向ImageMagick团队做了报告。
- 2016年4月21日,My.com开发团队修复了文件读取漏洞。
- 2016年4月28日,Mail.Ru安全团队的Nikolay Ermishkin在研究最初那篇博客文章的时候,发现ImageMagick存在代码执行漏洞。
- 2016年4月30日,向ImageMagick开发团队报告了代码执行漏洞。
- 2016年4月30日,ImageMagick开发团队修复了代码执行漏洞(不完全修复)。
- 2016年4月30日,发布ImageMagick 6.9.3-9版本(不完全修复)。
- 2016年5月1日,ImageMagic公布了此次修复。
- 2016年5月2日,向”distros”邮件列表小组做了小范围的漏洞说明;
- 2016年5月3日,发布ImageMagick 6.9.3-10版本(完全修复);
- 2016年5月3日,公开发布了此次漏洞的详细说明。
进一步了解详细信息
更为详细的介绍,请查看其专题网站 https://imagetragick.com 。
-
1 W3 Total Cache 0.9.5主版本更新修复XSS漏洞,升级需谨慎
-
2 W3 Total Cache缓存插件被曝存在XSS高危漏洞,附修补办法
-
3 32步WordPress网站安全终极检查清单:第28~32步
-
4 32步WordPress网站安全终极检查清单:第18~22步
-
5 32步WordPress网站安全终极检查清单:第13~17步
-
6 32步WordPress网站安全终极检查清单:第6~12步
-
7 32步WordPress网站安全终极检查清单:第1~5步
-
8 32步WordPress网站安全终极检查清单 – 目录
-
9 3个过期插件导致8,000个WordPress网站被入侵
-
10 WordPress计划2017年中将PHP推荐版本从5.6升级到7.0
用的阿里云的服务器,竟然需要给钱修复
除非你用的是独立服务器、vps之类的,需要自己维护。否则这个是服务商的义务,不应该收费的。
主机如果有漏洞的话,主机商应该免费升级。