圖片來源: 

ImageMagick

安全研究人員Ryan Huber本周指出,受到各網站廣泛採用的開放源碼圖像處理軟體套件ImageMagick含有多個安全漏洞,當中最嚴重的漏洞將允許駭客自遠端執行程式,且已有攻擊程式出爐。

以C語言撰寫的ImageMagick軟體套件可用來顯示、轉換及編輯圖像,支援逾200種圖像格式,並可跨平台運作,估計至少有數百萬台的網頁伺服器採用ImageMagick 。

Huber表示,有不少圖像處理外掛程式仰賴ImageMagick函式庫,諸如PHP的imagick、Ruby的rmagick與paperclip,或是nodejs的imagemagick,不論是使用了ImageMagick或受影響的函式庫都會受到波及。

Huber強調,他們相信已經有人得知該漏洞,並將對ImageMagick用戶造成威脅。此一重大漏洞的編號為CVE-2016–3714,只要是允許使用者上傳圖像的網站都會受到影響,駭客可上傳惡意圖像以迫使伺服器執行任意程式。

Huber及ImageMagick專案都發表了暫時補救方案,建議網站新增多個原則網域(policy domain),並驗證所有的圖像檔案。


Advertisement

更多 iThome相關內容