简单来说,就是能通过上传恶意图片来执行系统命令的漏洞。

关于这个漏洞影响ImageMagick 6.9.3-9以前是所有版本。
而官方在6.9.3-9版本中对漏洞进行了不完全的修复。所以,我们不能仅通过更新ImageMagick的版本来杜绝这个漏洞。

现在,我们可以通过如下两个方法来暂时规避漏洞:

第一种:处理图片前,先检查图片的 “magic bytes”,也就是图片头,如果图片头不是你想要的格式,那么就不调用ImageMagick处理图片。
如果你是php用户,查看是否启用了ImageMagick:
php -m | grep imagick
程序员可以使用getimagesize函数来检查图片格式,而如果你是wordpress等web应用的使用者,可以暂时卸载ImageMagick,使用php自带的gd库来处理图片。

第二种:使用策略文件暂时禁用ImageMagick。可在“/etc/ImageMagick/policy.xml”文件中添加如下代码:

 



发表评论