優易首頁 最新消息 資安新聞
資安新聞
ImageMagick內含可遠端執行程式的重大安全漏洞

研究人員指出該漏洞只要是允許使用者上傳圖像的網站都會受到影響,駭客可上傳惡意圖像迫使伺服器執行任意程式。包括PHP的imagick、Ruby的rmagick與paperclip或nodejs的imagemagick,使用了ImageMagick或受影響函式庫都會受到漏洞的波及。


安全研究人員Ryan Huber本周指出,受到各網站廣泛採用的開放源碼圖像處理軟體套件ImageMagick含有多個安全漏洞,當中最嚴重的漏洞將允許駭客自遠端執行程式,且已有攻擊程式出爐。


以C語言撰寫的ImageMagick軟體套件可用來顯示、轉換及編輯圖像,支援逾200種圖像格式,並可跨平台運作,估計至少有數百萬台的網頁伺服器採用ImageMagick 。


Huber表示,有不少圖像處理外掛程式仰賴ImageMagick函式庫,諸如PHP的imagick、Ruby的rmagick與paperclip,或是nodejs的imagemagick,不論是使用了ImageMagick或受影響的函式庫都會受到波及。


Huber強調,他們相信已經有人得知該漏洞,並將對ImageMagick用戶造成威脅。此一重大漏洞的編號為CVE-2016–3714,只要是允許使用者上傳圖像的網站都會受到影響,駭客可上傳惡意圖像以迫使伺服器執行任意程式。


Huber及ImageMagick專案都發表了暫時補救方案,建議網站新增多個原則網域(policy domain),並驗證所有的圖像檔案。

 
資安服務.首選優易

避實擊虛式網路智能欺敵獵捕.主動式網路境外威脅隔離預警.自動化網路威脅破口探索管理.網路威脅情資管理與佈建.IT資源管理與合規檢測.特權帳號管理與審計.防火牆與入侵防禦.網站應用防火牆.電子郵件安控與管理.無線網路安控.網路行為分析與稽核.網路管理與存取控制.系統認證與存取控制.SIEM事件日誌管理與稽核.弱點管理與滲透測試.資安健診服務。

關於優易
   /   
最新消息
   /   
產品資訊
   /   
網路資源
   /   
政府供應契約
   /   
聯絡優易
Copyrights © 2013 All rights reserved.優易資訊股份有限公司    [ 網站設計 / 關鍵字廣告 / 關鍵字行銷 - by fansio ]
10487台北市南京東路三段65號7樓  /  Tel  +886-2-2503-0582  /  Fax  +886-2-2503-0583  /  Email  my_service@securtec.com.tw