WP_Image_Editor_Imagick 漏洞临时解决方法

最新推荐文章于 2021-06-18 18:04:51 发布
最新推荐文章于 2021-06-18 18:04:51 发布
阅读量100 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统 python php
原文链接:https://my.oschina.net/linuxprobe/blog/685509
本文介绍ImageMagick的功能及其0day漏洞的影响,并提供三种解决方案:等待官方更新、禁用特定功能及调整WordPress图片处理库优先级。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

     WordPress

先来说下ImageMagick这个模块,ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick是免费软件:全部源码开放,可以自由使用,复制,修改,发布,它遵守GPL许可协议,可以运行于大多数的操作系统,ImageMagick的大多数功能的使用都来源于命令行工具。由于其强大的功能以及超强的可操作性,是的这款作图软件深得广大办公人士喜爱,正因为如此,此次0day漏洞所带来的影响超乎了人们的想象。诸多网站论坛都深受其害,其中不乏百度、阿里、腾讯、新浪等知名网站,一时间,业界各大网站及企业都人人自危,纷纷自查,以免中招。

那么对于我们来说,如果去解决这个漏洞呢?

1.最完善的解决方案是“等”:

等ImageMagick的官方更新,并将其升级到最新版本。不过这似乎要等段时间。

2.ImageMagick官方给出了一个临时解决方案:

通过配置文件,禁用ImageMagick。
在“/etc/ImageMagick/policy.xml” 文件中添加如下代码:

<policymap>
 
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
 
<policy domain="coder" rights="none" pattern="URL" />
 
<policy domain="coder" rights="none" pattern="HTTPS" />
 
<policy domain="coder" rights="none" pattern="MVG" />
 
<policy domain="coder" rights="none" pattern="MSL" />
 
</policymap>

3.关于wordpress的临时解决方法。

将wordpress的默认图片处理库优先顺序改为GD优先,这也是阿里云给出的临时解决方案:(不过我就不要钱了,其实也很简单)
在wp-includes/media.php中搜索:

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

修改为:

$implementations = apply_filters( 'wp_image_editors', array('WP_Image_Editor_GD','WP_Image_Editor_Imagick' ) );

问题临时解决。

免费提供最新Linux技术教程书籍,为开源技术爱好者努力做得更多更好:http://www.linuxprobe.com/

转载于:https://my.oschina.net/linuxprobe/blog/685509

ImageMagick远程代码执行漏洞分析
fly小灰灰的专栏
08-12 7958
1. 漏洞描述 漏洞编号: CVE-2016-3714 发现人员: Slack安全工程师Ryan Hube 漏洞简述: 产生原因是因为字符过滤不严谨所导致的执行代码. 对于文件名传递给后端的命令过滤不足,导致允许多种文件格式转换过程中远程执行代码。 影响版本: ImageMagick6.5.7-8 2012-08-17 ImageMagick6.7.7-10 2014-03-06 低版本至6.9
php_imagick实现图片剪切、旋转、锐化、减色或增加特效的方法
12-18
$image = new Imagick('image.jpg'); $image->thumbnailImage(100, 0); // 保持纵横比缩放至100像素宽 echo $image; ``` - 保存缩略图: ```php $images = new Imagick(glob('images/*.JPG')); foreach ($...
深入浅析ImageMagick命令执行漏洞
12-23
00 前言 什么是ImageMagick? ImageMagick是一个功能强大的开源图形处理软件,可以用来读、写和处理超过90种的图片文件,包括流行的JPEG、GIF、 PNG、PDF以及PhotoCD等格式。使用它可以对图片进行切割、旋转、组合等多种特效的处理。 由于其功能强大、性能较好,并且对很多语言都有拓展支持,所以在程序开发中被广泛使用。许多网站开发者喜爱使用ImageMagick拓展来做web上的图片处理工作,比如用户头像生成、图片编辑等。 01 漏洞描述 ImageMagick是一款开源图片处理库,支持PHP、Ruby、NodeJS和Python等多种语言,使用非常广泛。包括PH
wpincludes media.php,wordpress WP_Image_Editor_Imagick 指令注入漏洞
weixin_42102933的博客
03-19 161
补丁编号:6233772补丁文件:/wp-includes/media.php该修复方案为临时修复方案,可能存在兼容性风险,为了防止WP_Image_Editor_Imagick扩展的指令注入风险,将wordpress的默认图片处理库优先顺序改为GD优先,用户可在/wp-includes/media.php的_wp_image_editor_choose()函数中看到被修改的部分。在/wp-inc...
php-imagick漏洞,PHP Imagick内存泄漏
weixin_35970228的博客
03-12 517
imagick使用共享库,它的内存使用对于PHP来说是遥不可及的,因此调整PHP内存和垃圾收集无济于事.我自己也有同样的问题,试图用50(!)页3000×2000像素来处理多页tiff图像.解决方案是让想象力将其像素缓存放在磁盘上.在创建Imagick对象之前添加它解决了我的问题:// pixel cache max sizeIMagick::setResourceLimit(imagick::R...
imageTool_imagetool_压缩处理工具_php图形水印_
10-02
ImageTool可能提供了一系列函数和方法,使得开发者能够方便地对图像进行操作,例如调整尺寸、压缩、添加水印等。 2. **压缩处理工具**: 图片压缩是优化网站加载速度的关键步骤。高分辨率的图片往往占据大量存储空间...
php_imagick
11-27
- 创建`Imagick`对象,读取图像:`$im = new Imagick('image.jpg');` - 图像的基本操作,如调整大小、裁剪、旋转:`$im->resizeImage();`、`$im->cropImage();`、`$im->rotateImage();` - 转换图像格式:`$im->...
php_imagick-3.4.4rc2-7.2-nts-vc15-x64.zip
03-12
Imagick类是核心,它包含了所有与图像处理相关的函数,如`readImage()`用于加载图像,`writeImage()`用于保存图像,`thumbnailImage()`用于生成缩略图等。 在解压这个压缩包后,我们可以看到几个重要的文件: 1. *...
php imagemagick 漏洞,Linux下ImageMagick远程代码执行漏洞修复 | 系统运维
weixin_33539366的博客
03-10 282
二、安装ImageMagick系统运维 www.osyunwei.com 温馨提醒:qihang01原创内容版权所有,转载请注明出处及原文链接cd /usr/local/src #进入软件包存放目录tar zxvf ImageMagick-7.0.1-1.tar.gz #解压cd ImageMagick-7.0.1-1 #进入安装目录./configure --prefix=/usr/local/...
解决:wordpress WPImageEditorImagick 指令注入漏洞
Summersblue的博客
10-01 637
服务器放在阿里云有很大一个好处,就是平台有啥bug,会被查出来,根据这个提示,去解决漏洞名称:wordpress WP_Image_Editor_Imagick 指令注入漏洞在/wp-includes/media.php的_wp_image_editor_choose函数内部找到:1 $implementations = apply_filters( ‘wp_image_editors’, arr
php imagick 临时文件,php – 自动在Imagick中设置压缩级别以达到最大文件大小
weixin_32058239的博客
03-12 343
我正在检索图像的大小,因为它们被上传了Imagick:$im->getImageSize();这将返回图像的大小(以字节为单位).我想自动设置压缩级别,以便文件大小永远不会超过一定的大小.如果我想限制为70kb,最小允许压缩级别为60(在0-100的范围内),我会从做这样的事情开始:public function getCompLevel($size){$maxsize = 70000; /...
Imagetrick 漏洞的实例
2019想做自己的游戏的人加群95303036
05-06 2023
t1.php <?php ini_set('display_errors',true); error_reporting(E_ALL); $a++; $src_img = new Imagick('bug.png'); $icon = new Imagick(); $icon->setFormat('ico'); $icon->addImage($src_img); $icon->writeIm
ImageMagick 命令执行漏洞
mirror97black的博客
12-20 2715
ImageMagick 命令执行漏洞
ImageMagick命令注入漏洞(CVE-2016–3714)复现笔记
u011975363的专栏
06-18 3074
学习资料 https://www.cnblogs.com/bmjoker/p/9898590.html https://www.leavesongs.com/PENETRATION/CVE-2016-3714-ImageMagick.html 漏洞原理 ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。 但有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。 国外的安全人员为此新建了一个网站:
ImageMagick爆高危命令执行漏洞
热门推荐
煜铭2011
05-09 1万+
0x01 前言 ImageMagick是一套功能强大、稳定而且开源的工具集和开发包,可以用来读、写和处理超过89种基本格式的图片文件,包括流行的TIFF、JPEG、GIF、PNG、PDF以及PhotoCD等格式。众多的网站平台都是用他渲染处理图片。可惜在3号时被公开了一些列漏洞,其中一个漏洞可导致远程执行代码(RCE),如果你处理用户提交的图片。该漏洞是针对在野外使用此漏洞。许多图...
ImageMagick 漏洞复现之路
一个码农的笔记
08-31 3882
我的环境是centos7 ,phpPHP 5.4.16,ImageMagick是6.7.8-9正好在影响范围之内,但是官方还是对其官网上所有的安装包进行了修复,所以现在下载下来的任何版本的ImageMagick都是不存在漏洞的, 我们看看官方都是怎么修复的,并且还原漏洞现场 漏洞原理在:https://jiji262.github.io/wooyun_articles/drops/CVE-2
PHP 5.4.11版本的php_imagick扩展使用指南
- **扩展命名**: 根据环境需求,可能需要使用`imagick`或`imagick_nts`这两个不同的命名,分别对应非线程安全和线程安全版本。 #### 其他知识点 - **PHP扩展管理**: PHP扩展可以通过PECL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值