关键信息: CVE-2016-3714: ImageMagick的image decoder中的多个漏洞会导致远程代码执行,存在RCE风险。攻击者可利用这些漏洞在处理用户提交的图像文件时执行任意代码。 受影响系统及库:PHP的imagick、Ruby的rmagick、node.js的imagemagick等图像处理插件可能受影响。 缓解措施: - 验证所有图像文件使用的“magic bytes”,对应pattern应在传给ImageMagick处理之前确认。 - 使用policy file禁用所有易受攻击的ImageMagick编码器。默认ImageMagick策略在 ,具体如policy.xml所示禁用编码器: 、 、 、 。 漏洞详情: 1. CVE-2016-3714:由于对传给delegate命令的参数过滤不当,可导致在图片类型转换过程中远程代码执行。 2. CVE-2016-3718:由于ImageMagick支持的从多种协议中包含外部文件的特性,如URL协议等,可利用HTTP GET或FTP请求触发漏洞。(SSRF)。 3. CVE-2016-3715:使用 伪协议读取文件后可删除文件。 4. CVE-2016-3716:使用 伪协议可移动图像文件至任何文件夹,任何扩展名。 5. CVE-2016-3717:使用 伪协议读取本地文件内容。 报告及公开时间线: - 研究员Stewie披露了my.com服务中一处本地文件读取漏洞。 - Mail.Ru团队发现ImageMagick中存在的RCE漏洞并报告。 - 4月30日,ImageMagick发布版本6.9.3-9,是公开该漏洞后首个修复版本,但存在绕过。