歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> 學習Linux

WP_Image_Editor_Imagick 漏洞臨時解決方法

WP_Image_Editor_Imagick 漏洞臨時解決方法


WP_Image_Editor_Imagick 漏洞臨時解決方法


導讀阿裡雲推送的一條短信通知:存放在上面的WordPress程序有WP_Image_Editor_Imagick漏洞問題,需要登入後台補丁等等的暗示。當然,如果需要在線補丁則需要升級阿裡雲的安騎士專業版,100元/5台/月。其實對於我們來說我們沒有必要去購買這個服務,因為這個漏洞並不是由於Wordpress程序本身造成的,而是由於ImageMagick這個PHP圖像處理模塊爆出的“0day”漏洞所引發的。

WordPress
先來說下ImageMagick這個模塊,ImageMagick是一個免費的創建、編輯、合成圖片的軟件。它可以讀取、轉換、寫入多種格式的圖片。圖片切割、顏色替換、各種效果的應用,圖片的旋轉、組合,文本,直線,多邊形,橢圓,曲線,附加到圖片伸展旋轉。ImageMagick是免費軟件:全部源碼開放,可以自由使用,復制,修改,發布,它遵守GPL許可協議,可以運行於大多數的操作系統,ImageMagick的大多數功能的使用都來源於命令行工具。由於其強大的功能以及超強的可操作性,是的這款作圖軟件深得廣大辦公人士喜愛,正因為如此,此次0day漏洞所帶來的影響超乎了人們的想象。諸多網站論壇都深受其害,其中不乏百度、阿裡、騰訊、新浪等知名網站,一時間,業界各大網站及企業都人人自危,紛紛自查,以免中招。

那麼對於我們來說,如果去解決這個漏洞呢?

1.最完善的解決方案是“等”:

等ImageMagick的官方更新,並將其升級到最新版本。不過這似乎要等段時間。

2.ImageMagick官方給出了一個臨時解決方案:

通過配置文件,禁用ImageMagick。
在“/etc/ImageMagick/policy.xml” 文件中添加如下代碼:

<policymap><policy domain="coder" rights="none" pattern="EPHEMERAL" /><policy domain="coder" rights="none" pattern="URL" /><policy domain="coder" rights="none" pattern="HTTPS" /><policy domain="coder" rights="none" pattern="MVG" /><policy domain="coder" rights="none" pattern="MSL" /></policymap>
3.關於wordpress的臨時解決方法。

將wordpress的默認圖片處理庫優先順序改為GD優先,這也是阿裡雲給出的臨時解決方案:(不過我就不要錢了,其實也很簡單)
在wp-includes/media.php中搜索:

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

修改為:

$implementations = apply_filters( 'wp_image_editors', array('WP_Image_Editor_GD','WP_Image_Editor_Imagick' ) );

問題臨時解決。

原文來自:http://www.wpdaxue.com/wp_image_editor_imagick.html

轉載地址:http://www.linuxprobe.com/imagemagick-looph...


http://xxxxxx/Linuxjc/1133925.html TechArticle

Copyright © Linux教程網 All Rights Reserved