最近各种互联网网站的图片上传等功能成了黑客重点关注对象，因为在一个特殊的场景下，这些功能可以轻易秒杀对方网站的服务器控制权！比如传一张图就给服务器关机，或执行 “rm -fr /”，或窃取用户敏感数据等，而造成这些后果的只是一张特殊的图片…

啥是ImageMagick ？

ImageMagick 是一款功能强大、稳定并开源的图片处理库（类似库还有gd等），可以读、写处理几乎所有常见的图片格式，网站程序可以利用ImageMagick 对图片进行瘦身、旋转、锐化以及其他特效处理操作。因 ImageMagick 处理效率较优，被很多企业与建站程序开发者喜爱，比如 PHP 的imagick 扩展就依赖ImageMagick。网站中常见的场景比如用户头像上传，照片二次编辑，图片自动化瘦身等地方就很可能调用该扩展。

就在 5月3日， ImageMagick 的官方披露称，目前提供给用户使用的程序存在一处远程命令执行漏洞（CVE-2016–3714），当其处理的上传图片带有恶意攻击代码时，就可以远程执行任意代码&命令，获取服务器的操作权限。

Mail.Ru安全团队在4月21日发现了CVE-2016–3714。4月30日，ImageMagic官方发布了新版本6.9.3-9，但没有完全修复漏洞。因此，到目前为止，官方仍未有修复版本推出。

临时防护建议（by imagetragick.com）：

使用策略文件暂时禁用ImageMagick，可在 “/etc/ImageMagick/policy.xml” 文件中添加如下代码：

详见官方建议：ImageMagick Security Issue

利用方式也非常简单，黑客只需上传一张恶意图片就可以对服务器上的imagick扩展进行攻击，得手后就可以直接在网站服务器上执行任意命令。值得注意的是即使图片上传失败，imagick扩展也可能参与到了程序处理流程中，所以攻击仍会成功。

上传恶意图片，可能会提示错误

存在漏洞即可获取到服务器权限

目前漏洞没有大规模爆发，但仍然会给黑客意想不到的“惊喜”，在一些大型互联网企业的网络环境中悄悄的撕开一个入口。另外该漏洞也可以用来对一些云计算平台的“沙盒”权限限制进行绕过，获取到其他用户的文件或数据信息。