线上论坛和应用程序的验证码功能都是使用的ImageMagick,但是版本比较老(CentOS yum安装的ImageMagick6.5.9).接到最新漏洞预报,紧急升级!
ImageMagick图象处理软件存在远程代码执行漏洞(CVE-2016-3714)安全预警
2016-05-05 18:05:59
一、漏洞概述
据ImageMagick官方,目前程序存在一处远程命令执行漏洞(CVE-2016-3714),当其处理的上传图片带有攻击代码时,可远程实现远程命令执行,进而可能控制服务器。
该漏洞风险级别为高危。
官网说明:https://www.imagemagick.org/discourse-server/viewtopic.php?t=29588
二、影响范围
ImageMagick7.0.1-1和6.9.3-10以外的版本都受影响。
可能的影响范围包括各类流行的内容管理系统(CMS),如Wordpress博客网站、Discuz论坛和Drupal等系统。
三、安全建议
升级到7.0.1-1或6.9.3-10;
官网下载链接:http://www.imagemagick.org/download/
ImageMagick7.0.1-1编译安装:(参考 http://www.linuxidc.com/Linux/2016-05/131331.htm)
官方说明:https://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588
源码包下载:
1
git clone http://git.imagemagick.org/repos/ImageMagick.git
依赖环境:
rpm –qa |grep libpng
rpm –qa |grep libpng-devel
rpm –qa |grep libjpeg
rpm –qa |grep gd-devel
yum install libpng* libjpeg* gd-devel -y
编译安装:
cd ImageMagick/
./configure --prefix=/usr/local/ImageMagick --enable-shared --enable-static --without-perl
make && make isntall
设置环境变量:
echo "export PATH=$PATH:/usr/local/ImageMagick/bin" >> /etc/profile
移除旧版本:
yum remove ImageMagick -y
加载环境变量:
source /etc/profile
验证版本安装是否成功:
convert -version
Version: ImageMagick 7.0.1-2 Q16 x86_64 2016-05-05 http://www.imagemagick.org
检查支持的一些图片格式:
convert -list format 支持的所有格式
convert -list format|grep png 查看是否支持png
convert -list format|grep jpeg 查看是否支持jpeg
还要记得验证论坛和网站程序是否能正常刷出验证码来。
mac系统编译安装ImageMagick7.0.1-3
相关阅读
:
利用ImageMagick绘制三基色原理图 http://www.linuxidc.com/Linux/2012-09/70007.htm
Linux下PHP支持ImageMagick和MagicWandForPHP http://www.linuxidc.com/Linux/2011-01/31539.htm
Linux下用ImageMagick玩图像魔术 http://www.linuxidc.com/Linux/2010-06/26921.htm
Linux下ImageMagick和MagicWand For PHP的安装 http://www.linuxidc.com/Linux/2008-07/14525.htm
Linux下ImageMagick和JMagick的安装整理 http://www.linuxidc.com/Linux/2008-09/15649.htm