【漏洞预警】ImageMagick压缩TIFF图片远程代码执行漏洞(CVE-2016-8707)

本文原创作者:漏洞盒子

来源:FreeBuf.COM

14810771975126

漏洞概述

近日,Cisco Talos发布了一条关于ImageMagick远程代码执行漏洞的通告:Vulnerability Spotlight: ImageMagick Convert Tiff Out of Bounds Write 攻击者成功利用漏洞后,可导致远程代码执行。

关于ImageMagick

14810771108378

ImageMagick软件是用C语言编写的,可用来显示、转换以及编辑图形,支持超过200种图像文件格式,并且可以跨平台运行。ImageMagick软件被许多编程语言所支持,包括Perl,C++,PHP,Python和Ruby等,并被部署在数以百万计的网站,博客,社交媒体平台和流行的内容管理系统(CMS)。

受影响的版本: ImageMagick version < 7.0.3-9

不受影响的版本 :ImageMagick version = 7.0.3-9

漏洞分析

在网上找了一下漏洞的细节分析,在一个日文博客网站中找到了一些细节,感兴趣的童鞋可自行阅读分析:

1481077554129

http://d.hatena.ne.jp/yoya/20161205/im

修复方案

升级到目前的最新版本(7.0.3-9

ImageMagic历史漏洞

相关来源

http://blog.talosintel.com/2016/12/ImageMagick-Tiff-out-of-Bounds.html

http://d.hatena.ne.jp/yoya/20161205/im

https://security-tracker.debian.org/tracker/CVE-2016-8707

原文地址:http://www.freebuf.com/vuls/122139.html