这个漏洞被命名为 ImageTragick。
知道创宇安全研究团队已经证明,一堆大服务受到这个漏洞影响,点名根本点不过来。不废话,直接看!
[紧急预警]
关于 ImageTragick 漏洞(官网):
https://imagetragick.com/
官网上已经给出了好几种测试姿势,比如:
图片发自简书App
mageTragick 相关漏洞挖掘测试和漏洞影响自查,请参考:
http://www.imagemagick.org/script/api.php
可以看到数目繁多,用了如下组件的都可能受此漏洞影响:
图片发自简书App
Seebug在不断跟进这个漏洞的生命线,相关 Tag:
https://www.seebug.org/appdir/ImageMagick
防御可以使用 policy.xml 规则或者升级(不过注意目前很多源是没有修复的)必要可以停用 ImageMagick 扩展。
PS:注意 ImageTragick 和 ImageMagick 的区别;-)
这个漏洞对得起专门弄个漏洞官网,这个漏洞其实媒体也应该重视,除了 BAT 各种躺枪,许多知名建站组件、相关设备也出现了问题。为什么呢?因为在最常见的图片处理过程(比如上传)使用了本次的漏洞主角 ImageMagick。用途之广泛令人发指,虽然利用上对于新手来说倒不是那么容易,但对于黑阔来说:
这都不是事!
