阿里云ECS WordPress WP_Image_Editor_Imagick 指令注入漏洞

最近阿里云云盾“服务器安装(安骑士)”功能提示检测出“WordPress WP_Image_Editor_Imagick 指令注入漏洞”,而一键修复漏洞功能需要付费才能实现,便多方了解了一下,大至明白什么回事和解决办法。

WP_Image_Editor_Imagick 指令注入漏洞并非WordPress程序漏洞,而是服务器ImageMagick组件的安全漏洞,阿里云安全检测功能的检测机制并不清楚,事实是否真的存在此漏洞便需要进一步验证。

参照网上说法,验证是否安装了ImageMagick组件:
一、检查/etc下是否存在ImageMagick文件夹;

二、安装了ImageMagick组件便会有convert程序,执行convert -v查看版本,如果提示bash: convert: command not found说明并没有convert安装ImageMagck组件。

验证后服务器没有安装ImageMagck组件,所有大可不用理会。

防止阿里云安骑士再次检测出“wordpress WP_Image_Editor_Imagick 指令注入漏洞”
修改文件/wp-includes/media.php,第2898行:

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

*  WP_Image_Editor_Imagick 与 WP_Image_Editor_GD 调换顺序

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_Imagick' ) );

仅仅是改变优先级,使安骑士检测不出“wordpress WP_Image_Editor_Imagick 指令注入漏洞”,如果真存在此漏洞,此方法不一定有效修复。

如确实安装了ImageMagck组件,并存在“wordpress WP_Image_Editor_Imagick 指令注入漏洞”,官方建议是更新到较新的版本,或者临时禁用ImageMagck组件
通过配置策略文件暂时禁用ImageMagick,可在“/etc/ImageMagick/policy.xml” 文件中添加如下代码:

<policymap>
<policy domain=”coder” rights=”none” pattern=”EPHEMERAL” />
<policy domain=”coder” rights=”none” pattern=”URL” />
<policy domain=”coder” rights=”none” pattern=”HTTPS” />
<policy domain=”coder” rights=”none” pattern=”MVG” />
<policy domain=”coder” rights=”none” pattern=”MSL” /></policymap>

 

点赞
  1. 夏日博客说道:

    阿里云每隔一段时间就爆出新的漏洞,晕

    1. 阳金佑说道:

      闲着没事就修复一下,解决安全隐患!

发表评论

电子邮件地址不会被公开。 必填项已用*标注