ImageMagick爆0day漏洞 全球服务器遭殃
“0day漏洞”是指一些没有公布补丁的漏洞,或者是还没有被漏洞发现者公布出来的漏洞利用工具,作为网络安全的巨大威胁,往往会给你的服务器致命一击。5月3日,图像处理软件ImageMagick就被公布出一个严重的0day漏洞(CVE-2016-3714),攻击者通过此漏洞可执行任意命令,最终窃取重要信息取得服务器控制权。
首先让我们来了解一下“ImageMagick”这个图像处理软件,ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick是免费软件:全部源码开放,可以自由使用,复制,修改,发布,它遵守GPL许可协议,可以运行于大多数的操作系统,ImageMagick的大多数功能的使用都来源于命令行工具。
由于其强大的功能以及超强的可操作性,是的这款作图软件深得广大办公人士喜爱,正因为如此,此次0day漏洞所带来的影响超乎了人们的想象。诸多网站论坛都深受其害,其中不乏百度、阿里、腾讯、新浪等知名网站,一时间,业界各大网站及企业都人人自危,纷纷自查,以免中招。
那么这个漏洞是才去的怎样一个攻击方式呢?其实非常简单,黑客只需上传一张“被感染”的图片就可以对网站程序的 imagick 扩展进行攻击,利用漏洞执行图片中内置的恶意命令。哪怕是提示图片上传失败,imagick 扩展也会因代码流程而进行了处理,所以这种情况下即使图片没有真的传到服务器上,攻击也是可以成功的,这也正是它最为可怕的地方。
目前该漏洞还没有大面积爆发,但危机意识还是要有的,必要的自查防范依旧必不可少。既然此漏洞如此强悍,又有什么方式可以摆脱漏洞的危害呢?截至出稿,软件官方还没能给出一个强有力的应对措施。但还是给出了一些临时的应对措施。
聪明的人读到这里已经开始了自查模式,不要亡羊补牢,等到躺枪的时候就什么都晚了,话不多说,小编也要闪人了,毕竟小编是一个未(hao)雨(chi)绸(lan)缪(zuo)的人。
此次漏洞不容小觑,望诸位珍重。
本文转自d1net(转载)
威胁快报|Bulehero挖矿蠕虫升级,PhpStudy后门漏洞加入武器库 近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利。建议用户及时排查自身主机是否存在安全漏洞,并关注阿里云安全团队的相关文章。
深度剖析俄罗斯黑客组织APT29的后门 本文讲的是深度剖析俄罗斯黑客组织APT29的后门,POSTSPY最大程度的利用了内置于Windows系统中的特性来设置隐蔽的后门,这些特性被称为“living off the land”
知名Mac软件被黑植入后门,连累更新用户代码被窃、惨遭勒索 本文讲的是知名Mac软件被黑植入后门,连累更新用户代码被窃、惨遭勒索,编者按:本文来自Panic公司(开发 Mac 和 iOS 软件)官方博客,为其联合创始人Steven Frank的亲身经历,该公司有一款大受好评的游戏叫《Firewatch(看火人)》。
相关文章
- 代码审计-凡诺CMS 2.1文件包含漏洞
- Nginx漏洞修复:SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱
- Nexus Repository Manager 3(CVE-2019-7238) 远程代码执行漏洞分析和复现
- Weblogic CVE-2018-3191远程代码命令执行漏洞复现
- Apache文件解析漏洞详解
- 文件上传漏洞中常见文件解析
- Atitit 信息安全体系 资料书籍表 1. 《信息安全原理与技术2 1.1. 第2章 工具箱: 鉴别、 访问控制与加密2 1.2. 第3章 程序和编程 漏洞 木马 病毒3 1.3. We
- 18 - vulhub - DNS域传送漏洞
- 1. SSTI(模板注入)漏洞(入门篇)
- DNS域传送漏洞——由于DNS服务器配置不当,可能导致攻击者获取某个域(域名)的所有(子域名)记录
- XSS漏洞扫描
- WEB漏洞攻防 - 文件上传漏洞 - CTF比赛类应用场景 - [GXYCTF2019]BabyUpload
- 反序列化渗透与攻防(一)之PHP反序列化漏洞