[防护方案] ImageMagick 0day漏洞分析出台,解救服务器
haoteby 2025-01-12 15:11 5 浏览
在信息化和大数据为社会生产生活带来便利的同时,我们的各种信息和数据也危机四伏,如同仅披一件裸纱艰难蔽体,需要认真对待每一个漏洞和潜在威胁。
日前,ImageMagick爆0day漏洞,攻击者通过漏洞可执行任意命令,最终窃取重要信息取得服务器控制权。ImageMagick软件被许多编程语言所支持,包括Perl,C++,PHP,Python和Ruby等,并被部署在数以百万计的网站、博客、社交媒体平台和流行的内容管理系统(CMS),各站长请特别关注。
虽然,ImageMagick官方在2016年4月30日发布了新版本(6.9.3-9)修复远程代码执行,但是修复不完整,经过二次修复,官方在2016年5月3日发布了最新版本(6.9.3-10)修复了存在的安全问题。
绿盟科技安全专家第一时间对ImageMagick漏洞进行了分析并给出了防护方案。
漏洞影响巨大
相关漏洞有五个,具体情况如下:
想象一下,如果这个漏洞被黑客利用了,你的服务器可能会被远程控制,你的重要文件信息会被任意读取、更改,甚至删除。
偶买噶~
漏洞如何攻击?
黑客只需上传一张“被感染”的图片就可以对网站程序的imagick扩展进行攻击,利用该漏洞执行图片中内置的恶意命令。
如果提示图片上传失败,imagick扩展也会因代码流程而进行了处理,也就是说,即使图片没有真的传到服务器上,攻击也是可以成功的!
相关概念普及
- 什么是ImageMagick?
ImageMagick软件是用C语言编写的免费开源软件,可用来显示、转换以及编辑图片文件,支持超过200种图像文件格式,并且可以跨平台运行。大多数功能的使用通过命令行进行。
- 什么是SSRF?
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。
防护方案
1、ImageMagick版本升级到6.9.3-10(请跟踪后续版本升级,会修复其他安全问题)。
2、使用绿盟科技防护类产品(WAF/NIPS/NF)进行防护。
3、已经购买了绿盟科技防护类产品服务的客户可以通过产品升级进行防护。
4、短期服务:绿盟科技工程师现场处理。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
5、中期服务:提供 3-6个月的风险监控与巡检服务。根除风险,确保事件不复发。
6、长期服务:基金行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)
漏洞如此强悍,想了解具体内容,
请点击阅读原文:
相关推荐
- 百度首席技术官王海峰:飞桨已拥有750万名开发者 文心一言将逐步开放插件生态
-
【百度首席技术官王海峰:飞桨已拥有750万名开发者文心一言将逐步开放插件生态】《科创板日报》6日讯,2023世界人工智能大会上,百度首席技术官、深度学习技术及应用国家工程研究中心主任王海峰表示,截至...
- 那些不得不装的浏览器插件,日英文视频自动翻译、广告、沉浸阅读
-
这年头各种浏览器层出不穷,要说使用量最大的还是基于chromium内核的吧。MicrosoftEdge、360、QQ……哪个厂商不说它香!chromium系的强大扩展性让我们浏览网页的体验越来越爽了...
- 百度站长平台:论坛搜索功能升级 推论构化数据插件
-
站长之家(Chinaz.com)3月26日消息近日,百度站长平台站内搜索功能针对论坛站点新增了搜版块和搜用户功能。此外,还推出了新版的论坛结构化数据插件,分为兼容版和完整版两个版本。注意,兼容版无法开...
- 百度王海峰:文心3.5效果全面提升 将发布更多百度官方和第三方插件
-
中证网讯(记者彭思雨)7月6日,2023世界人工智能大会在上海开幕。百度首席技术官、深度学习技术及应用国家工程研究中心主任王海峰表示,文心大模型3.5效果、功能、性能全面提升,实现了基础模型升级、精...
- WORDPRESS好用的seo插件:生成百度站点地图
-
BaiduSitemapGenerator是何方大神?BaiduSitemapGenerator是一个wordpress插件,BaiduSitemapGenerator可以生成格式化sit...
- 你能容忍百度不经过允许给用户下载插件吗?
-
文/懒人先生(首发头条)最近,百度又摊上事儿了,这次找事儿的可不是个人,而是网友整个团体啊,事情的缘起是因为有一个网友在网上反映百度地图会自动在后台下载一些热门的音频文件,这样做的后果就是有可能网友们...
- 提升工作效率的三款excel插件推荐,相信你总会得到有价值的东西
-
本内容来源于@什么值得买SMZDM.COM|生活家被演南非有这样的一句话“会excel的比会word的挣得多,会ppt的比会excel的挣得多”但我看来,office三件套word、excel、pp...
- 工具 | 直接在网页上做标记?这些插件简直不要太赞
-
哈喽,大家好。好久不见啊!!!2021年的第一篇推文来啦~有小伙伴在后台留言:浏览网页时如何做标记?所以这篇推文就来介绍一下~之前的推文中有介绍过,浏览网页时如何快速定位关键词,其实也算是做标记的一种...
- 良心合集!Adobe Audition常用插件免费下载
-
八月了时间很快...
- 用上这几个脚本,多家网盘下载不限速
-
下载别人分享的文件需要用到各种网盘,有的网盘下载一个小文件也需要转存才能下载,或是需要客户端与会员等操作,在日常使用的时候不是很方便,百度网盘相关的下载工具已经介绍过很多了。今天就来给大家推荐几个其他...
- 论坛站站长的福音 百度DZ插件跨越式升级
-
站长之家(chinaz.com)3月31日消息:百度站长平台今日跨越式升级discuz百度结构化数据提交插件,此次跨越式升级提升了收录时效性,而且支持提交有关用户和版块数据。如果你是使用Discuz!...
- 百度CTO王海峰:文心大模型3.5新增插件机制 使其具备生成实时准确信息的能力
-
【百度CTO王海峰:文心大模型3.5新增插件机制使其具备生成实时准确信息的能力】《科创板日报》27日讯,百度首席技术官王海峰表示,文心大模型3.5最大的一个变化是新增了插件机制,默认的内置插件“百度...
- flutter集成 百度地图 ^2.0.1版本 | 绕坑必备
-
我之前在flutter中使用高德地图,发现没有引入,总是编译错误,后面我选择了使用flutter_map;flutter_map有一个局限是使用瓦片渲染。且只能渲染;要想效果好一点就用mapbox的...
- 百度文心一言新增搜索、图表生成等5大原生插件
-
【百度文心一言新增搜索、图表生成等5大原生插件】《科创板日报》16日讯,今日,文心一言发布五个原生插件:百度搜索、览卷文档(基于文档的交互)、E言易图(数据洞察图表生成)、说图解画(基于图片的交互)、...