ImageMagick Library中的临界缺陷将网站公开到黑客攻击

数百万个网站用于处理图像的工具具有几种可能允许攻击者危及Web服务器的关键漏洞。让事情变得更糟，没有官方补丁，并且已经可用。

Nikolay Ermishkin从Mail.ru安全团队中发现了该漏洞，并向ImageMagick开发人员报告，他们在4月30日发布的6.9.3-9版中试图修复。但是，修复程序不完整，仍然可以利用漏洞。

此外，有证据表明，人们除了安全研究人员和ImageMagick开发人员是否了解缺陷，这就是他们的存在于周二公开披露的原因。可以通过将特制的图像上传到依赖ImageMagick来处理它们的Web应用程序来利用缺陷。

ImageMagick是一个命令行工具，可用于创建，编辑和转换大量图像文件格式。它的库是其他Web服务器包的基础，如PHP的Imagick，Ruby的Rmagick和PaperCli和Node.js的ImageMagick。

自公开披露周二以来，安全研究人员已经为这些问题制定了概念证明。这意味着攻击者也可以提高恶意的野生攻击的可能性。

安全研究人员被称为这组漏洞Imagetragick，并创建了一个网站，为网站开发人员和管理员提供更多信息，包括缓解建议，直到完整的补丁提供。

“验证所有图像文件以与您支持的图像文件类型相对应的预期的”魔词字节“开始，在向ImageMagick进行处理之前，”研究人员在网站上表示。“使用策略文件禁用漏洞的ImageMagick编码器。ImageMagick的全球政策通常在“/ etc / imagemagick”中找到。“

ImageMagick开发人员还建议基于策略的缓解，并在其支持论坛上发布了一个示例策略文件。