ImageMagick Library中的临界缺陷将网站公开到黑客攻击
美国房子禁止雅虎邮件,谷歌应用引擎在恶意软件担忧
报纸员工对外国工人的愤怒
Apple Patches易受攻击的操作系统X Git版本
MWC 2017:AlteCE与思科,红帽虚拟的全球网络
当你开过星球大战和着名艺术时,你会得到什么?此算法可以显示您
思科说,网络支出仍然受到经济困车的阻碍
Mozilla希望我们首先透露它在政府黑客中发现的任何脆弱性
调查发现,存储失败了商业作为数据气球
Lenovo在预安装的支持工具中修补严重缺陷
卡塔尔国家银行声称,黑客发布的客户数据是真实的
美国学院承认将28,000美元的赎金支付给网络攻击者
Microsoft Overhauls Windows 7和8.1更新 - 但请勿将其称为服务包
NVIDIA主要淡化谷歌的AI芯片挑战
House Gop寻求签证欺诈软件120米
欧洲数据保护法为消费者提供更多控制
新的Microsoft Beta让工人在不编码的情况下建立自己的应用程序
英特尔希望用Type-C连接器取代耳机插孔
Gov.uk通知准备跨政府数字服务使用
Facebook的计划破坏蜂窝蜂窝变得庞大的支持
CIO采访:Ian Turfrey,英国医疗协会
英国数字战略突出了关键问题,但缺乏可衡量的目标
Lloyds银行数字银行问题行业警告
KB 3159635将升级您到Windows 10版本1511
三星的覆盆子pi样artik 10价格高于149.99美元
美国国防部正在扩大其与技术初创公司的努力
APAC企业具有较少的高风险云应用程序
荷兰皇家旅游俱乐部刺激了ICT的创新和更新
赫兹将每小时租车连接到IOT
Oculus Rift是最糟糕的技术小工具推出
Apple在印度的扩张加速了地图发展
福特投资人工智能启动以提高自动驱动
伦敦IT公司试图增加工作者多样性
Kaminario将K2 All-Flash升级到Gen6,并使用新的控制器CPU
爱沙尼亚人在全球DNS劫持僵尸网络中的角色超过7年
APAC业务转向Devops,以提高应用质量,安全性
在2017年的IT安全性和数据分析角色的薪酬升起
FOI请求揭示了伦敦当地议会在伦敦的数据中心变化的胃口
Microsoft制作最终,积极的Windows 10升级推
HPE情节下次进行服务
IWM Digitises Spectralogic磁带档案中的巨大集合
今天的计算学徒是业务 - 今天至关重要
RSAC17:微软表示,网络防守涉及各种各期的社会
什么是马雷?哦,只是一个改变一切的史诗般的转变
春季预算推进5G战略和宽带资金
印度部长为Apple商店持有希望
投资行业将在2021年在AI上花28亿美元,预计将削减一百万个工作岗位
Microsoft为Windows 7发出累积卷起包
刑事被告需要看到FBI的秘密黑客工具
研究人员破解了Cryptxxx赎金软件的新版本
您的位置:首页 >产品 > 电子产品 >

ImageMagick Library中的临界缺陷将网站公开到黑客攻击

2021-07-02 16:44:05 [来源]:

数百万个网站用于处理图像的工具具有几种可能允许攻击者危及Web服务器的关键漏洞。让事情变得更糟,没有官方补丁,并且已经可用。

Nikolay Ermishkin从Mail.ru安全团队中发现了该漏洞,并向ImageMagick开发人员报告,他们在4月30日发布的6.9.3-9版中试图修复。但是,修复程序不完整,仍然可以利用漏洞。

此外,有证据表明,人们除了安全研究人员和ImageMagick开发人员是否了解缺陷,这就是他们的存在于周二公开披露的原因。可以通过将特制的图像上传到依赖ImageMagick来处理它们的Web应用程序来利用缺陷。

ImageMagick是一个命令行工具,可用于创建,编辑和转换大量图像文件格式。它的库是其他Web服务器包的基础,如PHP的Imagick,Ruby的Rmagick和PaperCli和Node.js的ImageMagick。

自公开披露周二以来,安全研究人员已经为这些问题制定了概念证明。这意味着攻击者也可以提高恶意的野生攻击的可能性。

安全研究人员被称为这组漏洞Imagetragick,并创建了一个网站,为网站开发人员和管理员提供更多信息,包括缓解建议,直到完整的补丁提供。

“验证所有图像文件以与您支持的图像文件类型相对应的预期的”魔词字节“开始,在向ImageMagick进行处理之前,”研究人员在网站上表示。“使用策略文件禁用漏洞的ImageMagick编码器。ImageMagick的全球政策通常在“/ etc / imagemagick”中找到。“

ImageMagick开发人员还建议基于策略的缓解,并在其支持论坛上发布了一个示例策略文件。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。