文档章节

WP_Image_Editor_Imagick 漏洞临时解决方法

linuxprobe
 linuxprobe
发布于 2016/06/01 15:57
字数 651
阅读 68
收藏 0

     WordPress

先来说下ImageMagick这个模块,ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick是免费软件:全部源码开放,可以自由使用,复制,修改,发布,它遵守GPL许可协议,可以运行于大多数的操作系统,ImageMagick的大多数功能的使用都来源于命令行工具。由于其强大的功能以及超强的可操作性,是的这款作图软件深得广大办公人士喜爱,正因为如此,此次0day漏洞所带来的影响超乎了人们的想象。诸多网站论坛都深受其害,其中不乏百度、阿里、腾讯、新浪等知名网站,一时间,业界各大网站及企业都人人自危,纷纷自查,以免中招。

那么对于我们来说,如果去解决这个漏洞呢?

1.最完善的解决方案是“等”:

等ImageMagick的官方更新,并将其升级到最新版本。不过这似乎要等段时间。

2.ImageMagick官方给出了一个临时解决方案:

通过配置文件,禁用ImageMagick。
在“/etc/ImageMagick/policy.xml” 文件中添加如下代码:

<policymap>
 
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
 
<policy domain="coder" rights="none" pattern="URL" />
 
<policy domain="coder" rights="none" pattern="HTTPS" />
 
<policy domain="coder" rights="none" pattern="MVG" />
 
<policy domain="coder" rights="none" pattern="MSL" />
 
</policymap>

3.关于wordpress的临时解决方法。

将wordpress的默认图片处理库优先顺序改为GD优先,这也是阿里云给出的临时解决方案:(不过我就不要钱了,其实也很简单)
在wp-includes/media.php中搜索:

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

修改为:

$implementations = apply_filters( 'wp_image_editors', array('WP_Image_Editor_GD','WP_Image_Editor_Imagick' ) );

问题临时解决。

免费提供最新Linux技术教程书籍,为开源技术爱好者努力做得更多更好:http://www.linuxprobe.com/

本文转载自:http://www.linuxprobe.com/imagemagick-loopholes-solution.html

linuxprobe
粉丝 21
博文 257
码字总数 45072
作品 0
朝阳
私信 提问
CentOS6.5 64bit如何安装DNS服务dnsmasq加速网站访问

CentOS6.5 64bit如何安装DNS服务dnsmasq加速网站访问 技术奇客|ITGeeker2017-02-2037 阅读 DNS dnsmasq是个非常小巧的dns服务器,可以解决小范围的dns查询问题,建议内网终端不要超过50台主机...

技术奇客|ITGeeker
2017/02/20
0
0
如何将一个已存在的目录转换为一个 Git 项目并托管到 GitHub 仓库

如何将一个已存在的目录转换为一个 Git 项目并托管到 GitHub 仓库 技术奇客|ITGeeker2016-06-2738 阅读 gitGit 本文只讲一件事:将一个本地维护的项目,转换为一个 Git 项目,并托管到 GitH...

技术奇客|ITGeeker
2016/06/27
0
0
WordPress 4.5 Beta 3 发布

WordPress 4.5 Beta 3发布了。这个软件还在开发中,所以我们并不建议您在生产站点投入使用。此次建立的测试站点只是为了测试新版本。测试WordPress 4.5,可以试试WordPressβ测试插件(你要“b...

oschina
2016/03/11
1K
8
wordpress媒体库上传含中文的文件名后,标题被重新编码。

出错版本:4.6.1 出错效果:图中第二条 解决方案: 修改wp-admin/includes/media.php,大概294行,去掉sanitize_title。 注:此方案是临时解决方案,低版本中,并未包含sanitize_title,如产...

随风而飘
2016/11/06
43
0
WordPress内核中一个任意文件删除漏洞,可导致攻击者执行任意代码

        简介   WordPress是目前网络上最受欢迎的CMS。根据w3tech的资料显示,约有30%的网站都在使用它1。这种广泛的采用,也使其成为了网络犯罪分子非常感兴趣的一个目标。在这篇文...

嘶吼RoarTalk
2018/06/29
0
0

没有更多内容

加载失败,请刷新页面

加载更多

JWT学习总结

官方 https://jwt.io 英文原版 https://www.ietf.org/rfc/rfc7519.txt 或 https://tools.ietf.org/html/rfc7519 中文翻译 https://www.jianshu.com/p/10f5161dd9df 1. 概述 JSON Web Token(......

冷基
今天
4
0
AOP的学习(1)

AOP 理解AOP编程思想(面向方法、面向切面) spring AOP的概念 方面 -- 功能 目标 -- 原有方法 通知 -- 对原有方法增强的方法 连接点 -- 可以用来连接通知的地方(方法) 切入点 -- 将用来插入...

太猪-YJ
今天
4
0
一张图看懂亮度、明度、光度、光亮度、明亮度

亮度、明度、光亮度,Luminance和Brightness、lightness其实都是一个意思,只是起名字太难了。 提出一个颜色模型后,由于明度的取值与别人的不同,为了表示区别所以就另想一个词而已。 因此在...

linsk1998
昨天
11
0
Python应用:python链表示例

前言 python链表应用源码示例,需要用到python os模块方法、函数和类的应用。 首先,先简单的来了解下什么是链表?链表是一种物理存储单元上非连续、非顺序的存储结构,数据元素的逻辑顺序是...

python小白1
昨天
5
0
Source Insight加载源码

Source Insight是一个图形化的源代码查看工具(当然也可以作为编译工具)。如果一个项目的源代码较多,此工具可以很方便地查找到源代码自建的依赖关系。 1.创建工程 下图为Snort源代码的文件...

天王盖地虎626
昨天
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部