一、漏洞概述

1 简介

ImageMagick[1]能够创建、编辑、撰写或转换位图图像。它可以读取和写入各种格式(超过200种)的图像，包括 PNG，JPEG，GIF，HEIC，TIFF，DPX，EXR，WebP， Postscript，PDF 和 SVG。使用 ImageMagick 调整大小，翻转，镜像，旋转，扭曲，剪 切和变换图像，调整图像颜色，应用各种特殊效果，或绘制文本，线条，多边形，椭圆和 Bézier 曲线。

2 影响版本

ImageMagick <= 7.0.8-9

二、漏洞复现

1 复现环境

2 复现过程及结果

使用给出的 poc[4]:

 可以看到获取到了内存中泄漏的数据

三、防护方案

1、更新 ImagicMagick 到最新版本，并使用官方给出的安全配置

https://imagemagick.org/source/policy.xml

2、ImageMagick 的最佳实践是在像 Docker 这样的隔离环境中运行它。

设置使用ImageMagick 的服务的最低必需权限。将其置于具有最小网络权限的隔离网段中。并且仅使用此隔离环境来执行使用 ImageMagick 处理自定义用户图像的特定任务。

3、技术业务咨询

知道创宇技术业务咨询热线 :

400-060-9587(政府，国有企业)、028-68360638(互联网企业)