当前位置: 中心首页>>网络安全>>正文
【转载】关于ImageMagick存在TIFF文件远程代码执行漏洞的安全公告
2016-12-12  

近期,国家信息安全漏洞共享平台(CNVD)收录了ImageMagick存在的TIFF文件远程代码执行漏洞(CNVD-2016-11927,对应CVE-2016-8707)。综合利用该漏洞,攻击者有可能发起远程执行代码,由于该应用在互联网企业中较为广泛,有可能导致一定规模的攻击。   

一、漏洞情况分析

ImageMagick软件是用C语言编写的,可用来显示、转换以及编辑图形,支持超过200种图像文件格式,并且可以跨平台运行。ImageMagick软件被许多编程语言所支持,包括Perl,C++,PHP,Python和Ruby等,并被部署在数以百万计的网站,博客,社交媒体平台和流行的内容管理系统(CMS)。由于在ImageMagicks的转换实用程序中,TIFF图像压缩处理存在一个写边界的问题。攻击者利用一个精心编制的TIFF文件,可以导致边界溢出,发起远程命令执行攻击。   

CNVD对该漏洞的技术评级为“高危”。   

二、漏洞影响范围

漏洞影响ImageMagick<7.0.3-9版本。   

三、漏洞修复建议

目前,厂商已提供漏洞修补方案。用户可将程序升级至7.0.3-9版本。CNVD建议用户关注厂商主页,升级到最新版本,避免引发漏洞相关的网络安全事件。   

附:参考链接:   

关闭窗口
 

版权所有:长春中医药大学现代教育技术中心 地址:长春市净月经济开发区博硕路1035号 邮编:130117

技术支持:长春中医药大学现代教育技术中心