登录  免费注册
当前位置:首页 > 安全公告 > 正文

关于ImageMagick存在TIFF文件远程代码执行漏洞的安全公告

2016-12-07 14:10:43
安全公告编号:CNTA-2016-0062

近期,国家信息安全漏洞共享平台(CNVD)收录了ImageMagick存在的TIFF文件远程代码执行漏洞(CNVD-2016-11927,对应CVE-2016-8707)。综合利用该漏洞,攻击者有可能发起远程执行代码,由于该应用在互联网企业中较为广泛,有可能导致一定规模的攻击。

一、漏洞情况分析

ImageMagick软件是用C语言编写的,可用来显示、转换以及编辑图形,支持超过200种图像文件格式,并且可以跨平台运行。ImageMagick软件被许多编程语言所支持,包括Perl,C++,PHP,Python和Ruby等,并被部署在数以百万计的网站,博客,社交媒体平台和流行的内容管理系统(CMS)。由于在ImageMagicks的转换实用程序中,TIFF图像压缩处理存在一个写边界的问题。攻击者利用一个精心编制的TIFF文件,可以导致边界溢出,发起远程命令执行攻击。

CNVD对该漏洞的技术评级为“高危”。

二、漏洞影响范围

漏洞影响ImageMagick<7.0.3-9版本。

三、漏洞修复建议

目前,厂商已提供漏洞修补方案。用户可将程序升级至7.0.3-9版本。CNVD建议用户关注厂商主页,升级到最新版本,避免引发漏洞相关的网络安全事件。


附:参考链接:

http://www.imagemagick.org/script/changelog.php

http://www.imagemagick.org/script/binary-releases.php(补丁地址)

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11927


(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论