阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 2372阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】ImageMagick压缩TIFF图片远程代码执行(CVE-2016-8707)

级别: 论坛版主
发帖
241
云币
478
近日,Cisco Talos了一条关于ImageMagick远程代码执行漏洞通告,攻击者成功利用漏洞后,可导致远程代码执行,具体漏洞详情如下: f& *E;l0  
                                
@#">~P|Hp  
漏洞编号:CVE-2016-8707 q[g^[~WM#  
)[.URp&  
H^0KNMf(  
漏洞危害: k0|InP7  
黑客通过利用漏洞可以实现远程命令执行,严重情况下可能会导致业务中断或数据泄露。 s5@^g8(+C  
>MLqOUr#  
2x CGr>X  
漏洞利用条件: }wKU=Vm  
可以远程代码执行利用。 $>Do&TU   
利用复杂度较高,暂无公开POC。 s3S73fNOk  
KxI(# }5o&  
W'yICt(#G  
漏洞影响范围: @m4d4K@  
ImageMagick version < 7.0.3-9 +(T,d]o]  
不受影响版本:ImageMagick version = 7.0.3-9测试方案 dXQWT@$y!E  
B{<6 &bQ  
4BX*-t  
漏洞测试: 0'",4=c#V  
您可以通过 命令查看版本 >FO=ioNY  
  1. #convet -version
Hr'#0fW  
?e*vvu33!  
同时目前阿里安骑士已经支持该漏洞检测,您可以登录到控制台->安骑士->批量事件处理,点击检测,即可检测是否存在漏洞: &kGSxYDk%  
Zf! 7pM  
7P]pk=mo  
|RdSrVB  
[;}c@  
B Xp3u|t  
pVM;xxJ  
漏洞修复建议(或缓解措施): b $!l* r  
升级到目前的最新版本(7.0.3-9) <@P0sd   
wlJ_, wA  
6Z 7$ZQ~  
参考信息 )yJjJ:re  
  1. http://d.hatena.ne.jp/yoya/20161205/im
  2. https://www.imagemagick.org/script/binary-releases.php
  3. http://blog.talosintel.com/2016/12/ImageMagick-Tiff-out-of-Bounds.html    
  4. http://d.hatena.ne.jp/yoya/20161205/im
  5. https://security-tracker.debian.org/tracker/CVE-2016-8707
uxBk7E%6  
lB3X1e9  
!&kOqc5:t<  
#frhO;6  
6+>rf{5P7  
G.;<?W  
Hmz[pTQ|87  
#gq3 e  
}[|"db  
mdwY48b  
'W)x<Iey1  
QJ QQ-  
h6#  
K% ;O$ >  
GIp?}tM  
aLr^uce]  
$O[ut.   
ezL*YM8?@  
r&#q=R},p  
ZyTah\yPM  
>?5`FC  
$iV3>>;eh  
W[b/.u5z:  
`g#\ Ws  
.! &YO/  
0GB6.Ggft  
[ 此帖被正禾在2016-12-11 13:01重新编辑 ]
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 沙发  发表于: 2016-12-09
幸苦啦,那么晚还发漏洞公告
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 93 + 1 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)