CVE-2016-3714于2016年5月3日发布。不幸的是,这个漏洞的名称是ImageTragick,并已经得到了一些新闻(例如, 这个ArsTechnica文章 )。
在不久的将来发布更新的ImageMagick软件包之前,我们需要一个解决方法。 解决方法非常简单。 只需使用策略文件来禁用易受攻击的编码器。 策略文件必须如下所示:
<policymap> <policy domain="coder" rights="none" pattern="EPHEMERAL" /> <policy domain="coder" rights="none" pattern="URL" /> <policy domain="coder" rights="none" pattern="HTTPS" /> <policy domain="coder" rights="none" pattern="MVG" /> <policy domain="coder" rights="none" pattern="MSL" /> </policymap> 如果系统pipe理员安装了上面显示的policy.xml文件,他们将如何独立确认ImageMagick的安装不再受到攻击?
Karim Valiev 将信息发布到oss-security邮件列表,显示如何检查ImageMagick的本地安装以查看是否存在漏洞。
使用以下内容创build一个名为exploit.mvg的文件:
push graphic-context viewbox 0 0 640 480 fill 'url(https://example.com/image.jpg"|ls "-la)' pop graphic-context
然后运行转换实用程序:
$ convert exploit.mvg out.png
如果您看到本地目录列表,则ImageMagick的安装不受充分保护。