蓝信科技

业内新闻


最新网站漏洞:诡异的图片导致网站内容被删除

最近各种互联网网站出新了一种攻击程序——“魔图攻击”。网站上的图片相关功能可以被黑客利用秒取网站服务器控制权!比如传一张图直接就给服务器关机,或执行删除文件,再或窃取用户敏感数据等,而造成这些后果的只是一张特殊的图片…


当然不是它…


漏洞来源是 ImageMagick,他是 一款功能强大、稳定并开源的图片处理库(类似库还有gd等,顺便说一下蓝信科技的网站程序中的图片处理程序是基于gd库的,不是基于ImageMagick),可以读、写处理几乎所有常见的图片格式,网站程序可以利用 ImageMagick 对图片进行瘦身、旋转、锐化以及其他特效处理操作。因 ImageMagick 处理效率较优,被很多企业与建站程序开发者喜爱,网站中常见的场景比如用户头像上传、远程图片抓取、图片在线编辑,图片压缩等功能就很可能使用该扩展进行处理。

目前该漏洞还没有大面积爆发,但仍会给黑客们意想不到的“惊喜”,比如企业被动抓取网络图片功能也可以间接触发该漏洞,所以真的是稍不注意就在网络边界上撕开一个入口。另外该漏洞还可对一些云计算平台的权限验证进行绕过,获取甚至删除其他用户的文件或数据信息,所以乌云君建议云计算平台企业格外需要注意,要是没注意到被删除可都是用户的数据。

截至目前乌云上收到的漏洞报告(互联网企业、建站系统、云计算平台均有受到影响)

WooYun-2016-0205171- 人人网某漏洞导致直接Getshell影响主干网络直入内网
WooYun-2016-205206-一张图片引发的血案百度某处命令执行 
WooYun-2016-205259-百度某站远程命令执行漏洞 
WooYun-2016-205051-SAE 沙盒绕过(ImageMagick CVE20163714 应用实例) 
WooYun-2016-205047-Wordpress某核心功能命令执行漏洞(一定权限) 
WooYun-2016-205290-七牛云存储远程命令执行漏洞影响图片处理服务器 
WooYun-2016-205375-腾讯微云远程命令执行
WooYun-2016-205381-qq邮箱命令执行

阿里万网也发布了相关漏洞提示 https://help.aliyun.com/knowledge_detail/13108397.html

关于蓝信

石家庄蓝信网络科技有限公司 (蓝信科技) 是一家致力于为外贸及其他企事业提供信息化建设、电子商务、互联网服务的企业。

多年来专注于国际互联网解决方案,帮助企业提升网络形象,通过互联网拓展国内外市场。提供互联网营销,电子商务,企业信息化,国际互(More..

联系我们

热线电话:400-066-0321
电话 / 传真:0311-87085738
支持邮箱:support@lanscend.com
客服QQ: 1534819964578956264
蓝帆外贸营销2群: 172905334
地址: 石家庄中华北大街198号中储广场D座704
邮编: 050000

微信平台