漏洞名称:
ImageMagick 任意文件读取漏洞(CVE-2022-44268)
组件名称:
ImageMagick
影响范围:
ImageMagick 7.1.x ≤ 7.1.0-51
ImageMagick 7.0.x
ImageMagick 6.9.x
6.8.3-10 ≤ ImageMagick 6.8.x ≤ 6.8.9-10
漏洞类型:
任意文件读取
利用条件:
1、用户认证:否
2、前置条件:默认配置
3、触发方式:远程、本地均可
综合评价:
<综合评定利用难度>:容易,无需授权即可读取文件。
<综合评定威胁等级>:高危,能造成任意文件读取。
官方解决方案:
已发布
漏洞分析
组件介绍
ImageMagick是一个免费,开源的创建、编辑、合成图片的工具集和开发包。
漏洞简介
2023年2月4日,深信服安全团队监测到一则ImageMagick组件存在任意文件读取漏洞的信息,漏洞编号:CVE-2022-44268,漏洞威胁等级:高危。
该漏洞是由于解析 PNG 图像时代码处理不当,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行文件读取攻击,最终造成服务器敏感性信息泄露。
影响范围
ImageMagick是一个免费,开源的创建、编辑、合成图片的工具集和开发包,是Linux生态下较流行的图片处理工具之一,多种上层应用使用ImageMagick作为其组成部分。可能受漏洞影响的资产广泛分布于世界各地,此漏洞危害程度较高,利用难度较低,涉及用户量较多,漏洞影响力较大,但是漏洞实际利用受限于真实环境。
目前受影响的ImageMagick版本:
ImageMagick 7.1.x ≤ 7.1.0-51;
ImageMagick 7.0.x;
ImageMagick 6.9.x;
6.8.3-10 ≤ ImageMagick 6.8.x ≤ 6.8.9-10;
解决方案
如何检测组件版本
在已安装ImageMagick的设备执行命令:
identify -version
或
convert -version
回显即为ImageMagick版本
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/ImageMagick/ImageMagick
临时修复建议
该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:
1.可通过将敏感路径配置到安全策略中,避免利用此漏洞获取敏感信息,例如:
访问https://imagemagick.org/script/security-policy.php获取ImageMagick安全策略的描述。将以下内容加入此文件的对应位置:
“path”rights=“none”pattern=“/etc/*”/>
此配置可实现不允许读取/etc/下的任何内容,用户也可将其他需要保护的内容加入此配置中。
深信服解决方案
1.主动检测
支持对ImageMagick 任意文件读取漏洞(CVE-2022-44268)的主动检测,可批量快速检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服主机安全检测响应平台CWPP】预计2023年2月6日发布检测方案。
【深信服安全托管服务MSS】预计2023年2月6日发布检测方案。
【深信服安全检测与响应平台XDR】预计2023年2月6日发布检测方案。
参考链接
https://github.com/ImageMagick/ImageMagick/discussions/6027?sort=new
时间轴
2023/2/4
深信服监测到ImageMagick 任意文件读取漏洞(CVE-2022-44268)漏洞攻击信息。
2023/2/4
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】ImageMagick 任意文件读取漏洞CVE-2022-44268
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论