RSS Feed
更好更安全的互联网

ImageMagick popen_utf8命令注入 漏洞报告

2016-05-30

Author: niubl(知道创宇404安全实验室)

Date: 2016-05-07

一、漏洞概要

i. 漏洞描述

ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。我发现当用户传入一个包含|竖线的文件名的时候,就有可能触发命令注入漏洞。

ii. 漏洞影响

测试:ImageMagick-7.0.1-2.tar.bz2

iii. 漏洞分析

ImageMagick在处理文件名时会调用OpenBlob()函数,在OpenBlob()函数中,代码2484行,判断文件名是否以|竖线开头,如果是,那么他会调用popoen_utf8()函数处理文件名,代码如图:

图片 1

来到popoen_utf8()函数,popen_utf8()函数调用会调用popen()函数打开文件,这样就导致我们可以注入系统命令,代码如图:

图片 1

iv. 漏洞利用(PHP)

在PHP禁用执行系统命令函数的时候,我们可以用他来绕过disable_funtion,PHP编写如下代码:

使用PHP执行,结果如图:

图片 1

二、修复方案

目前官方已经更新代码至 Gitlab,但最终修复版本还未发布,补丁细节可参考如下链接:

三、漏洞时间线

2016.05.07    知道创宇404安全实验室niubl发现该漏洞
2016.05.29    国外研究者报告并公布了漏洞细节 http://permalink.gmane.org/gmane.comp.security.oss.general/19669
2016.05.30    发布分析报告

四、相关资源链接

作者:niubl | Categories:安全研究 | Tags:

3条评论

  1. LonelyRain说道:

    嗯,system()有问题那其他调用的地方有没有问题呢?例如popen()
    噫,貌似OpenBlob调用到了popen(),看看哪个地方调用到了OpenBlob…..

发表评论