線上論壇和應用程序的驗證碼功能都是使用的ImageMagick,但是版本比較老(CentOS yum安裝的ImageMagick6.5.9).接到最新漏洞預報,緊急升級!
ImageMagick圖象處理軟件存在遠程代碼執行漏洞(CVE-2016-3714)安全預警
2016-05-05 18:05:59
一、漏洞概述
據ImageMagick官方,目前程序存在一處遠程命令執行漏洞(CVE-2016-3714),當其處理的上傳圖片帶有攻擊代碼時,可遠程實現遠程命令執行,進而可能控制服務器。
該漏洞風險級別為高危。
官網說明:https://www.imagemagick.org/discourse-server/viewtopic.php?t=29588
二、影響范圍
ImageMagick7.0.1-1和6.9.3-10以外的版本都受影響。
可能的影響范圍包括各類流行的內容管理系統(CMS),如Wordpress博客網站、Discuz論壇和Drupal等系統。
三、安全建議
升級到7.0.1-1或6.9.3-10;
官網下載鏈接:http://www.imagemagick.org/download/
ImageMagick7.0.1-1編譯安裝:(參考 http://www.linuxidc.com/Linux/2016-05/131331.htm)
官方說明:https://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588
源碼包下載:
1
git clone http://git.imagemagick.org/repos/ImageMagick.git
依賴環境:
rpm –qa |grep libpng
rpm –qa |grep libpng-devel
rpm –qa |grep libjpeg
rpm –qa |grep gd-devel
yum install libpng* libjpeg* gd-devel -y
編譯安裝:
cd ImageMagick/
./configure --prefix=/usr/local/ImageMagick --enable-shared --enable-static --without-perl
make && make isntall
設置環境變量:
echo "export PATH=$PATH:/usr/local/ImageMagick/bin" >> /etc/profile
移除舊版本:
yum remove ImageMagick -y
加載環境變量:
source /etc/profile
驗證版本安裝是否成功:
convert -version
Version: ImageMagick 7.0.1-2 Q16 x86_64 2016-05-05 http://www.imagemagick.org
檢查支持的一些圖片格式:
convert -list format 支持的所有格式
convert -list format|grep png 查看是否支持png
convert -list format|grep jpeg 查看是否支持jpeg
還要記得驗證論壇和網站程序是否能正常刷出驗證碼來。
mac系統編譯安裝ImageMagick7.0.1-3
相關閱讀:
利用ImageMagick繪制三基色原理圖 http://www.linuxidc.com/Linux/2012-09/70007.htm
Linux下PHP支持ImageMagick和MagicWandForPHP http://www.linuxidc.com/Linux/2011-01/31539.htm
Linux下用ImageMagick玩圖像魔術 http://www.linuxidc.com/Linux/2010-06/26921.htm
Linux下ImageMagick和MagicWand For PHP的安裝 http://www.linuxidc.com/Linux/2008-07/14525.htm
Linux下ImageMagick和JMagick的安裝整理 http://www.linuxidc.com/Linux/2008-09/15649.htm
ImageMagick 的詳細介紹:請點這裡
ImageMagick 的下載地址:請點這裡