阿里云提示的WP_Image_Editor_Imagick漏洞修复方案

转载   张力博客  2016-06-22 07:31:48  647 人阅读  26 条评论

这几天连续收到阿里云发来的漏洞警告短信,提示我的服务器存在WordPress的WP_Image_Editor_Imagick漏洞。刚找了一下相关解决方法,找到一篇比较详细的文章,按照上面的办法做完,进阿里云控制台再看果然没有报警了。所以把文章转过来,希望能帮到还没修补漏洞的朋友。

阿里云提示的WP_Image_Editor_Imagick漏洞修复方案

以下是原文:

作为一名站长而言,其实早在几天之前就看到了相关资讯新闻:ImageMagick被爆高危漏洞(CVE-2016-3714),黑客等攻击者通过此漏洞可执行任意命令,最终窃取重要信息取得服务器控制权。想来对服务器而言危害程度还是比较大的。

于此同时,今天下午档主收到来自阿里云服务器的安全提示,一个存放在阿里云主机上的WordPress网站程序存在WP_Image_Editor_Imagick漏洞问题,需要登入后台修复补丁。

当然,提供在线修复补丁功能的骑士专业版作为阿里云的收费服务,当然不是免费获取的,不过此服务收费并不贵,如果没有技术能力并且期待官方的安全服务保障的站长,缴费仍是最佳选择。对于档主而言,自然不会因为这个WP_Image_Editor_Imagick漏洞就轻易开通收费服务,因为这个漏洞本来就不是出自WP程序本身,而是服务器环境中安装有ImageMagick且没有升级修复补丁才有。

仔细检查了一遍,云主机系统并没有安装过ImageMagick组件,不过最后为了安全起见,尽管没有安装ImageMagick,既然阿里云提示了漏洞还是应该及时修补一番。

临时解决WP漏洞的方法只需要修改一行代码就好,具体实现方法如下:

只需要打开wp-includes/media.php,大概在第2898行找到以下代码;

  1. $implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick' ,  'WP_Image_Editor_GD' ) );

修改成

  1. $implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_Imagick' ) );

即可,意思就是把2个库优先级对调即可。

这个修复仅是临时解决方案,更可靠、最直接的方法还是请将wordpress程序升级到最新版本,如果服务器安装有ImageMagick组建同样需要升级至新版本。

最后顺便附上ImageMagick官方提供的临时解决措施:

通过配置策略文件暂时禁用ImageMagick,可在“/etc/ImageMagick/policy.xml” 文件中添加如下代码:

  1. <policymap>
  2. <policy domain=”coder” rights=”none” pattern=”EPHEMERAL” />
  3. <policy domain=”coder” rights=”none” pattern=”URL” />
  4. <policy domain=”coder” rights=”none” pattern=”HTTPS” />
  5. <policy domain=”coder” rights=”none” pattern=”MVG” />
  6. <policy domain=”coder” rights=”none” pattern=”MSL” />
  7. </policymap>

补充内容:

看到应该有不少站长朋友关注这个问题,需要说明一下的是:该漏洞真正的原因与 WordPress 无关,是 ImageMagick 的漏洞,通过修改GD库顺序只能绕过阿里云的安全漏洞检测,如果系统安装有 ImageMagick 请首先解决其自身漏洞,如果服务器或者云主机本身并没有安装ImageMagick组件(检查/etc下是否存在/ImageMagick文件夹可知)那么问题并不大,因为wordpress、discuz!等程序一般都是采用GD库来处理的,阿里云出现误报也不是什么稀奇事。

其次,只要安装了ImageMagick就会有convert程序。检查办法是执行convert -v看版本。如果返回 bash: convert: command not found 说明系统没有找到convert程序,表明并没有安装 ImageMagick ,同样无需担忧。

而若安装了ImageMagick程序,由于这个漏洞影响ImageMagick 6.9.3-9以前所有版本,包括 ubuntu 源中安装的ImageMagick。而官方在 6.9.3-9 版本中对漏洞进行了不完全的修复。所以,我们不能仅通过更新 ImageMagick 的版本来杜绝这个漏洞。

可以通过如下两个方法来暂时规避漏洞:

第一、处理图片前,先检查图片的 “magic bytes”,也就是图片头,如果图片头不是你想要的格式,那么就不调用ImageMagick处理图片。如果你是php用户,可以使用getimagesize函数来检查图片格式,而如果你是wordpress等web应用的使用者,可以暂时卸载ImageMagick,使用php自带的gd库来处理图片。

第二、使用 policy file 来防御这个漏洞,这个文件默认位置在 /etc/ImageMagick/policy.xml。具体修改内容参考前文提供的代码。

所以,ImageMagick漏洞虽然在新闻报道中传言危害极大,但是也是针对大型网站或者广大虚拟主机商而言,一般个人网站的云主机配置并没有安装ImageMagick组件,至少来自军哥的LNMP一键安装包中并没有安装。所以,解决阿里云漏洞检测报告即可!

文章标签: ,   ,   ,  
原文地址:http://zhangliseo.com/2719.html
温馨提示:文章内容仅代表作者个人观点,不代表boke112导航赞同其观点和对其真实性负责!
版权声明:本文为转载文章,来源于 张力博客 ,版权归原作者所有,欢迎分享本文,转载请保留出处!
WordPress/zblogPHP免费响应式博客主题Blogs

 发表评论


  1. 夏天烤洋芋
    夏天烤洋芋 【进士】 @回复

    对我我服务器也是提醒过好几次了。 那个 什么骑士服务是不错,价格也不贵。但是要求捆绑的一次性最低买10个授权就太坑爹了。

  2. 米粒博客
    米粒博客 【举人】 @回复

    没用服务器了,没用WordPress了,还是回归到我的免费虚拟主机哇

  3. 刘传鹏博客
    刘传鹏博客 【举人】 @回复

    wordpress有重大漏洞一般会自己修复,阿里云这功能很讨厌

  4. 大学问社区
    大学问社区 【进士】 @回复

    学学

  5. 小C博客
    小C博客 【进士】 @回复

    基本装ImageMagick的都提示了

    • boke112导航
      boke112导航【村长】2016-06-23 11:55  回复

      @小C博客我都不知道我是否有装,对于主机Linux之类的都不懂,我还是比较喜欢用虚拟主机

  6. 纯洁博客
    纯洁博客 【状元】 @回复

    现在没用阿里云了,太贵了

  7. 论文写作服务的评论
    论文写作服务的评论 【小白】 @回复

    以前也有这个提示。

  8. 楚书业
    楚书业 【状元】 @回复

    当初一出来,我直接上阿里云论坛修改了。
    发现阿里云今年各种收费、原先出现漏洞都是免费修复,现在随便一个补丁都要交20元。

    • boke112导航
      boke112导航【村长】2016-06-22 17:45  回复

      @楚书业是的,挺坑爹的,有些漏洞好像可有可无,但是提醒了,不懂修复只能用他们的收费服务了,挺黑的

  9. 阅读驿站
    阅读驿站 【状元】 @回复

    奇怪我的怎么没有,

  10. 唯历史
    唯历史 【丞相】 @回复

    阿里云的监控如何?

  11. 成航先森
    成航先森 【举人】 @回复

    没我虚拟主机啥事、、、

  12. 孟子非博客
    孟子非博客 【状元】 @回复

    之前好像也出现过这样的提示

  13. 明月登楼的博客
    明月登楼的博客 【丞相】 @回复

    今天WP好像更新到4.5.3了,不知道是不是修复这个BUG了!

  14. 留芳网
    留芳网 【举人】 @回复

    不明白、

  15. 捌零男人
    捌零男人 【进士】 @回复

    上个月5号就收到百度云观测的通告,直接无视了,我一虚拟主机有什么鸟事