imageMagick曝重大漏洞Discuz!受影响!

Deunes

5月20日消息，广泛流行的图像处理软件imageMagick今天爆发重大漏洞，该漏洞可以充许黑客攻击者通过上传恶意构造的图片文件 ，在目标服务器上执行任意代码，完全操控目标服务器。

imageMagick是一个免费的创建、修改、合成、裁剪图片的软件，在大量网站上有应用，常见的应用场景如某些论坛用户上传头像后，可进行尺寸裁剪等。

在国内广泛应用的Wordpress建站系统、Discuz!论坛等均受影响，全国约有200万网站采用Discuz!搭建网站。目前在某漏洞报告平台上，包括百度、腾讯、阿里、人人、新浪等均受到影响。

截止发稿，软件官方尚未发布最终解决方案.

官方给出的临时解决措施：

通过配置策略文件暂时禁用ImageMagick，可在 “/etc/ImageMagick/policy.xml” 文件中添加如下代码：

1. <policymap>
   
2.   <policy domain="coder" rights="none" pattern="EPHEMERAL" />
   
3.   <policy domain="coder" rights="none" pattern="URL" />
   
4.   <policy domain="coder" rights="none" pattern="HTTPS" />
   
5.   <policy domain="coder" rights="none" pattern="MVG" />
   
6.   <policy domain="coder" rights="none" pattern="MSL" />
   
7. </policymap>

复制代码

@zuimc

1356726241

这个问题你at最MC干嘛,又不是他开发的这款软件

zuimc

感谢提醒，我们用的是GD库所以不受本次影响

Tinmate

zuimc 发表于 2016-5-21 11:01
感谢提醒，我们用的是GD库所以不受本次影响

你真机智啊

zuimc

Tinmate 发表于 2016-5-21 13:42
你真机智啊

绝大多数论坛用的是GD库
相反imageMagick需要花费一番功夫才能用上
所以相信90%以上discuz论坛不受影响

Zuimc小酱

zuimc 发表于 2016-5-21 22:29
绝大多数论坛用的是GD库
相反imageMagick需要花费一番功夫才能用上
所以相信90%以上discuz论坛不受影响 ...

机智的wbb,但是你没发现你的签名档裂了？