ImageMagick漏洞分析与防护方案

 Mail.Ru安全团队发现了几个关于ImageMagick软件的漏洞并提交给ImageMagick开发人员进行修复。ImageMagick官方在2016年4月30日发布了新版本（6.9.3-9）修复远程代码执行，但是修复不完整，经过二次修复，官方在2016年5月3日发布了最新版本（6.9.3-10）修复了存在的安全问题。

使用了ImageMagick软件的网站均会受到影响。

其中的漏洞信息列表如下：

]1 漏洞信息表

详情见如下地址：
http://www.openwall.com/lists/oss-security/2016/05/03/18

什么是ImageMagick?

ImageMagick软件是用C语言编写的免费开源软件，可用来显示、转换以及编辑图片文件，支持超过200中图像文件格式，并且可以跨平台运行。大多数功能的使用通过命令行进行。

ImageMagick软件被许多编程语言所支持，包括Perl，C++，PHP，Python和Ruby等，并被部署在数以百万计的网站，博客，社交媒体平台和流行的内容管理系统(CMS)。

影响的版本

ImageMagick < 6.9.3-10

不受影响的版本

ImageMagick 6.9.3-10

漏洞技术分析

在ImageMagick软件的图片解码器中，存在多个漏洞，具体分析如下：

CVE-2016-3714 Shell命令字符串过滤不严格导致（可能远程）代码执行。

在ImageMagick中，存在一个功能叫委托，代码位于 ImageMagick/MagickCore/delegate.c 中。此代码中有system(sanitize_command)操作，但是 sanitize_command可被用户直接控制，并且程序对输入的内容没有进行过滤，因此造成命令执行。
sanitize_command从command中取值，command的内容为：

]2 代码

第99行的代码为：

       1 2 <delegate decode=\"https\" command=\""wget" -q -O "%o" "https:%M"\"/>  

而command命令为：

       1 2 "wget" -q -O "%o" "https:%M"  

而%M是从我们输入的内容获取的，因此我们只要构造一个https开头的链接，再拼上命令即可完成RCE（需要考虑双引号的闭合）。
POC如下：

        1 2 convert 'https://test"|whoami"' 1.png  

对于mvg图片的转化，我们生成一个mvg文件，如下所示：

执行convert后，如期产生echo内容。

对于svg图片的转化，我们生成一个svg文件，如下所示：

执行convert后，如期产生echo内容。

CVE-2016-3718 SSRF（服务器端请求伪造）

此漏洞属于SSRF，可以利用mvg语法的url函数，向服务器发起http请求，根据响应时间，判断服务器地址是否存在。

CVE-2016-3715 文件删除

此漏洞属于任意文件删除，可以利用mvg语法的ephemeral协议，删除当前权限下的服务器的任意文件。

CVE-2016-3716 文件存储更改

此漏洞属于任意文件更改，可以利用mvg语法的msl协议，使用效果类似于linux下的move命令。

在特定条件下，如对文件后缀进行了过滤，但是可以上传文件，并且知道文件的绝对路径，此时再使用ImageMagick库就会产生问题，有可能产生服务器被拿下的风险。

CVE-2016-3717 任意文件读取

此漏洞属于任意文件读取，可以利用mvg语法的label协议，读取当前权限下的服务器的任意文件。

防护方案 ImageMagick版本升级到6.9.3-10（请跟踪后续版本升级，会修复其他安全问题）。

目前厂商已经发布了升级补丁修复了安全问题，请到厂商主页下载:
http://legacy.ImageMagick.org/script/binary-releases.php

验证文件的“magic bytes”，确定为期望的图片文件格式，具体文件格式的“magic bytes”参考如下网站:

https://en.wikipedia.org/wiki/List_of_file_signatures

使用策略文件禁用存在漏洞的编码器，全局策略文件通常位于“/etc/ImageMagick”，增加如下内容：