Code Bye

wordpress WP_Image_Editor_Imagick 指令注入漏洞 media.php

最近收到了阿里云推送的多条短信通知:“【阿里云】尊敬的用户:您的服务器120.xxx.xxx.xxx存在wordpress WP_Image_Editor_Imagick 指令注入漏洞,已为您准备补丁可一键修复漏洞,为避免被黑客入侵,建议您登录云盾控制台-服务器安全(安骑士)页面进行查看和处理,同时建议您在控制台使用安全巡检功能对服务器进行全面检查。”

登录到后台,确实有多条漏洞提示,点击修复方案会弹出:

推荐方案【一键修复】(漏洞补丁)

当前云盾自研了近百个漏洞补丁,可修复大量第三方软件(discuz、dedecms、ecshop等)的高危漏洞,同时补丁将不定时增加。¥20起

其他方案【自己动手修】

前往对应程序的官方网站进行补丁升级,可修复漏洞。

修复每台主机20元,对我等屌丝站长来说还是很贵的。网上百度了一下发现这个漏洞并不是由于Wordpress程序本身造成的,而是由于ImageMagick这个PHP图像处理模块爆出的“0day”漏洞所引发的。不管是哪个地方的漏洞,还是很担心被黑客利用的,有点小忐忑。那么如何去解决这个漏洞呢?搜集了一下解决方案,汇总如下:

1.最好的当然是等ImageMagick的官方更新,然后升级最新版本。不过不知道何时才会更新,这期间岂不是度日如年。

2.ImageMagick官方的临时解决方案:通过配置文件,禁用ImageMagick。可在“/etc/ImageMagick/policy.xml” 文件中添加如下代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
<policymap>
 
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
 
<policy domain="coder" rights="none" pattern="URL" />
 
<policy domain="coder" rights="none" pattern="HTTPS" />
 
<policy domain="coder" rights="none" pattern="MVG" />
 
<policy domain="coder" rights="none" pattern="MSL" />
 
</policymap>

3.想必大家都是阿里云wordpress,那么wordpress的临时解决方法是:将wordpress的默认图片处理库优先顺序改为GD优先,这也是阿里云给出的临时解决方案:

在wp-includes/media.php中搜索

1
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

修改为:

1
$implementations = apply_filters( 'wp_image_editors', array('WP_Image_Editor_GD','WP_Image_Editor_Imagick' ) );

问题临时解决(其实也就是调换一下顺序,还是很简单的,又省了20元^_^)。


CodeBye 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明wordpress WP_Image_Editor_Imagick 指令注入漏洞 media.php