在2016年5月3日, ImageMagick曾被曝出存在一个严重的0day漏洞(CVE-2016-3714)。启明星辰天镜漏洞扫描产品团队在第一时间对这个漏洞进行了紧急响应。
一个月后,图像处理软件ImageMagick再次被发现存在高危漏洞(CVE-2016-5118),可导致本地或可能的远程代码执行,由ImageMagick5.5.2 发展出来的图像处理软件GraphicsMagick亦存在此漏洞。
ImageMagick是一款开源的图像处理软件,该软件能用作创建、编辑、合成图片,支持多种编程语言,包括Perl、C++、PHP、Python、Ruby和NodeJS等,因此被众多网站大量应用于识别、裁剪、或调整用户上传的图片。
GraphicsMagick是ImageMagick的一个分支,号称图像处理领域的瑞士军刀。 短小精悍的代码却提供了一个鲁棒、高效的工具和库集合,来处理图像的读取、写入等操作,支持超过88种图像格式,包括重要的DPX、GIF、JPEG、JPEG-2000、PNG、PDF、PNM和TIFF,可以在Linux、Mac、Windows等绝大多数的平台上使用。GaphicsMagick支持大图片的处理,能够动态的生成图片,特别适用于互联网的应用。GaphicsMagick不仅支持命令行的模式,同时也支持C、C++、Perl、PHP、Tcl、Ruby等的调用。
漏洞危害
当GraphicsMagick和ImageMagick打开文件时,如果文件名的第一个字符为“|”,则文件名会被传递给shell程序使用POSIX函数popen执行,文件打开操作由源文件blob.c中的OpenBlob函数处理。攻击者可借助文件名利用该漏洞执行shell代码。
影响范围
此漏洞可影响众多网站、博客、社交媒体平台和内容管理系统(CMS),例如WordPress、Drupal等各种可上传图片的网站,特别是可批量裁剪图片的网站。对企业用户威胁较大。
漏洞检测
启明星辰天镜脆弱性扫描与管理系统V6.0目前已经支持对该漏洞进行检测:
请天镜脆弱性扫描与管理系统V6.0产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。
漏洞库升级
天镜脆弱性扫描与管理系统V6.0已于2016年6月2日紧急发布针对ImageMagick漏洞的升级包,用户升级天镜漏扫产品漏洞库后即可对ImageMagick漏洞进行扫描:
http://www.venustech.com.cn/DownFile/575/
http://www.venustech.com.cn/DownFile/456/
漏洞修复建议
方案一:修改源代码,重新编译GraphicsMagick和ImageMagick
GraphicsMagick在文件magick/blob.c中增加以下内容:
#undef HAVE_POPEN
ImageMagick在文件MagickCore/blob.c中增加:
#undef MAGICKCORE_HAVE_POPEN
在配置文件中增加如下内容:
方案二:关注官方网站,及时升级到最新版本
目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页: http://www.graphicsmagick.org/
PS:启明星辰还贴心提供ImageMagick&GraphicsMagick本地漏洞检测工具,提供给没有天镜脆弱性扫描与管理系统V6.0产品的用户对该漏洞进行检测:
1.运行ImageMagick-graphicmagic.py;
2. 执行结果如下:
有需要的用户请联系启明星辰当地客户代表获取本地漏洞检测工具。
