Mail.Ru安全团队发现了几个关于ImageMagick软件的漏洞并提交给ImageMagick开发人员进行修复。ImageMagick官方在2016年4月30日发布了新版本(6.9.3-9)修复远程代码执行,但是修复不完整,经过二次修复,官方在2016年5月3日发布了最新版本(6.9.3-10)修复了存在的安全问题。
使用了ImageMagick软件的网站均会受到影响。
其中的漏洞信息列表如下:
]1 漏洞信息表
详情见如下地址:
http://www.openwall.com/lists/oss-security/2016/05/03/18
ImageMagick软件是用C语言编写的免费开源软件,可用来显示、转换以及编辑图片文件,支持超过200中图像文件格式,并且可以跨平台运行。大多数功能的使用通过命令行进行。
ImageMagick软件被许多编程语言所支持,包括Perl,C++,PHP,Python和Ruby等,并被部署在数以百万计的网站,博客,社交媒体平台和流行的内容管理系统(CMS)。
影响的版本ImageMagick < 6.9.3-10
不受影响的版本ImageMagick 6.9.3-10
漏洞技术分析在ImageMagick软件的图片解码器中,存在多个漏洞,具体分析如下:
CVE-2016-3714 Shell命令字符串过滤不严格导致(可能远程)代码执行。在ImageMagick中,存在一个功能叫委托,代码位于 ImageMagick/MagickCore/delegate.c 中。此代码中有system(sanitize_command)操作,但是 sanitize_command可被用户直接控制,并且程序对输入的内容没有进行过滤,因此造成命令执行。
sanitize_command从command中取值,command的内容为:
]2 代码
第99行的代码为:
1 2 <delegate decode=\"https\" command=\""wget" -q -O "%o" "https:%M"\"/>而command命令为:
1 2 "wget" -q -O "%o" "https:%M"而%M是从我们输入的内容获取的,因此我们只要构造一个https开头的链接,再拼上命令即可完成RCE(需要考虑双引号的闭合)。
POC如下:
对于mvg图片的转化,我们生成一个mvg文件,如下所示:
执行convert后,如期产生echo内容。
对于svg图片的转化,我们生成一个svg文件,如下所示:
执行convert后,如期产生echo内容。
CVE-2016-3718 SSRF(服务器端请求伪造)此漏洞属于SSRF,可以利用mvg语法的url函数,向服务器发起http请求,根据响应时间,判断服务器地址是否存在。
CVE-2016-3715 文件删除此漏洞属于任意文件删除,可以利用mvg语法的ephemeral协议,删除当前权限下的服务器的任意文件。
CVE-2016-3716 文件存储更改此漏洞属于任意文件更改,可以利用mvg语法的msl协议,使用效果类似于linux下的move命令。
在特定条件下,如对文件后缀进行了过滤,但是可以上传文件,并且知道文件的绝对路径,此时再使用ImageMagick库就会产生问题,有可能产生服务器被拿下的风险。
CVE-2016-3717 任意文件读取此漏洞属于任意文件读取,可以利用mvg语法的label协议,读取当前权限下的服务器的任意文件。
防护方案 ImageMagick版本升级到6.9.3-10(请跟踪后续版本升级,会修复其他安全问题)。目前厂商已经发布了升级补丁修复了安全问题,请到厂商主页下载:
http://legacy.ImageMagick.org/script/binary-releases.php
https://en.wikipedia.org/wiki/List_of_file_signatures
使用策略文件禁用存在漏洞的编码器,全局策略文件通常位于“/etc/ImageMagick”,增加如下内容: