文章来源:国家互联网应急中心
近期,国家信息安全漏洞共享平台(CNVD)收录了ImageMagick存在的TIFF文件远程代码执行漏洞(CNVD-2016-11927,对应CVE-2016-8707)。综合利用该漏洞,攻击者有可能发起远程执行代码,由于该应用在互联网企业中较为广泛,有可能导致一定规模的攻击。
一、漏洞情况分析
ImageMagick软件是用C语言编写的,可用来显示、转换以及编辑图形,支持超过200种图像文件格式,并且可以跨平台运行。ImageMagick软件被许多编程语言所支持,包括Perl,C++,PHP,Python和Ruby等,并被部署在数以百万计的网站,博客,社交媒体平台和流行的内容管理系统(CMS)。由于在ImageMagicks的转换实用程序中,TIFF图像压缩处理存在一个写边界的问题。攻击者利用一个精心编制的TIFF文件,可以导致边界溢出,发起远程命令执行攻击。
CNVD对该漏洞的技术评级为“高危”。
二、漏洞影响范围
漏洞影响ImageMagick<7.0.3-9版本。
三、漏洞修复建议
目前,厂商已提供漏洞修补方案。用户可将程序升级至7.0.3-9版本。CNVD建议用户关注厂商主页,升级到最新版本,避免引发漏洞相关的网络安全事件。
附:参考链接:
http://www.imagemagick.org/script/changelog.php
http://www.imagemagick.org/script/binary-releases.php(补丁地址)
http://www.cnvd.org.cn/flaw/show/CNVD-2016-11927