ImageMagick 是一款免费软件,以随时可用的二进制分发版或源代码形式提供,您可以在开放和专有应用程序中使用、复制、修改和分发。可以使用ImageMagick®创建、编辑、合成或转换数字图像。它可以读取和写入多种格式(超过 200 种)的图像。

近日,奇安信 CERT 监测到ImageMagick 信息泄露漏洞(CVE-2022-44267) 和拒绝服务漏洞(CVE-2022-44268)的技术细节及PoC在互联网上公开,远程攻击者可通过制作恶意的PNG文件并上传至受影响的使用ImageMagick 解析图片的网站来利用这两个漏洞,当网站或应用使用 ImageMagick 对恶意的 PNG 文件进行解析时将触发这两个漏洞,从而造成敏感信息泄露或拒绝服务。目前奇安信CERT已成功复现这两个漏洞。鉴于这些漏洞影响范围较大,建议客户尽快做好自查及防护。

漏洞名称

ImageMagick 信息泄露漏洞

公开时间

2023-02-03

更新时间

2023-02-03

CVE编号

CVE-2022-44268

其他编号

QVD-2023-3527

威胁类型

信息泄露

技术类型

数据验证不恰当

厂商

ImageMagick

产品

ImageMagick

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已发现

未发现

未发现

已公开

漏洞描述

ImageMagick 存在信息泄露漏洞,攻击者可通过制作特制的 PNG 文件来利用此漏洞,当网站或应用使用 ImageMagick 对攻击者上传的恶意 PNG 文件进行解析时将触发此漏洞,从而导致敏感信息泄露。远程攻击者可利用此漏洞读取 ImageMagick 进程有权限读取的系统文件。

影响版本

ImageMagick 7.1.x <= 7.1.0-51

ImageMagick 7.0.x

ImageMagick 6.9.x

6.8.3-10 <= ImageMagick 6.8.x <= 6.8.9-10

不受影响版本

ImageMagick >= 7.1.0-52

其他受影响组件

漏洞名称

ImageMagick 拒绝服务漏洞

公开时间

2023-02-03

更新时间

2023-02-03

CVE编号

CVE-2022-44267

其他编号

QVD-2023-3526

威胁类型

拒绝服务

技术类型

数据验证不恰当

厂商

ImageMagick

产品

ImageMagick

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已发现

未发现

未发现

已公开

漏洞描述

ImageMagick 中存在拒绝服务漏洞,攻击者可通过精心制作的 PNG 文件,当网站或应用使用 ImageMagick 对攻击者上传的 PNG 文件进行解析时将触发此漏洞。最终可导致拒绝服务。

影响版本

ImageMagick 7.1.x <= 7.1.0-51

ImageMagick 7.0.x

ImageMagick 6.9.x

6.8.3-10 <= ImageMagick 6.8.x <= 6.8.9-10

不受影响版本

ImageMagick >= 7.1.0-52

其他受影响组件

目前奇安信CERT已成功复现ImageMagick 信息泄露漏洞(CVE-2022-44267)和ImageMagick 拒绝服务漏洞(CVE-2022-44268),截图如下:

ImageMagick 信息泄露漏洞(CVE-2022-44267)

ImageMagick 拒绝服务漏洞(CVE-2022-44268)

威胁评估

漏洞名称

ImageMagick 信息泄露漏洞

CVE编号

CVE-2022-44268

其他编号

QVD-2023-3527

CVSS 3.1评级

高危

CVSS 3.1分数

7.5

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

攻击者可通过制作特制的 PNG 文件来利用此漏洞,当网站或应用使用 ImageMagick 对攻击者上传的恶意 PNG 文件进行解析时将触发此漏洞,从而导致敏感信息泄露。远程攻击者可利用此漏洞读取 ImageMagick 进程有权限读取的系统文件。

漏洞名称

ImageMagick 拒绝服务漏洞

CVE编号

CVE-2022-44267

其他编号

QVD-2023-3526

CVSS 3.1评级

高危

CVSS 3.1分数

7.5

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

攻击者可通过精心制作的 PNG 文件,当网站或应用使用 ImageMagick 对攻击者上传的 PNG 文件进行解析时将触发此漏洞。最终可导致拒绝服务。

处置建议

目前官方已发布修复版本,建议受影响用户升级至ImageMagick >= 7.1.0-52 及以上版本进行漏洞修复。

https://imagemagick.org/script/download.php

https://github.com/ImageMagick/ImageMagick/releases

参考资料

[1]https://github.com/ImageMagick/ImageMagick/releases

[2]https://imagemagick.org/script/download.php

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。