WordPress WP_Image_Editor_Imagick 指令注入漏洞修复图文教程

阿里云最近提醒用户关于wordpress WP_Image_Editor_Imagick 指令注入漏洞

【阿里云】尊敬的用户:您的服务器*.*.*.**存在wordpress WP_Image_Editor_Imagick 指令注入漏洞,已为您准备补丁可一键修复漏洞,为避免被黑客入侵,建议您登录云盾控制台-服务器安全(安骑士)页面进行查看和处理,同时建议您在控制台使用安全巡检功能对服务器进行全面检查。

Wordpress WP_Image_Editor_Imagick 指令注入漏洞修复图文教程
我已经忽略了wordpress WP_Image_Editor_Imagick

WP_Image_Editor_Imagick并非主机或程序自带的一个漏洞,而是如果你的服务器环境中安装了ImageMagick组件且没有补丁的情况下才会被利用。我非常鄙视阿里云这一做法:

一是为了安全:提醒用户,这一点我承认,但是并不是所有WordPress站点的服务器都安装了ImageMagick这个软件的,所以不需要修复。

如何检测是否存在ImageMagick漏洞?

方法一:

Centos下查看rpm包

rpm -q ImageMagick

 

package ImageMagick is not installed

Wordpress WP_Image_Editor_Imagick 指令注入漏洞修复图文教程
服务器未安装ImageMagick

Debain下查看dpkg包:

dpkg -l | grep image

ii cloud-utils 0.26-2~bpo70+1 all cloud image management utilities
ii linux-base 3.5 all Linux image base package
ii linux-image-3.2.0-4-amd64 3.2.68-1+deb7u3 amd64 Linux 3.2 for 64-bit PCs
ii linux-image-amd64 3.2+46 amd64 Linux for 64-bit PCs (meta-package)
Wordpress WP_Image_Editor_Imagick 指令注入漏洞修复图文教程

方法二:执行CONVERT命令

CONVERT 'https://jiloc.com"|ls "-la'? out.png

bash: CONVERT: command not found

检测未安装

如果是服务器并没有安装,那请直接在阿里云后台忽略这个提示即可,反之只需要升级ImageMagick即可。

如果服务器安装了ImageMagick怎么办

一种是直接升级组件即可:yum install ImageMagick -y,还可以手动修改WordPress源码

链接到文章: https://ixvps.com/42237.html

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注