阿里云【yún】推送的一【yī】条短信【xìn】通知:存放在上面的【de】WordPress程序【xù】有WP_Image_Editor_Imagick漏洞【dòng】问【wèn】题,需要登入后台补丁【dīng】等等的暗【àn】示。当然,如果需要在线补丁则【zé】需【xū】要升级阿里【lǐ】云的安骑士【shì】专业版,100元/5台/月。其实对于我们来说我们【men】没有必要【yào】去【qù】购买这个服【fú】务,因【yīn】为这【zhè】个漏洞并【bìng】不【bú】是由于Wordpress程序本身造成的【de】,而是由于ImageMagick这个PHP图像【xiàng】处理模块爆出【chū】的“0day”漏洞所引发的。 |
先来说下ImageMagick这个【gè】模块,ImageMagick是一个免费的创建、编辑【jí】、合成图片的软件。它可【kě】以【yǐ】读取【qǔ】、转换、写【xiě】入多种格【gé】式的图片。图片切割、颜色替换、各【gè】种效【xiào】果的【de】应用【yòng】,图【tú】片的旋转【zhuǎn】、组合,文本,直线,多边形,椭圆【yuán】,曲线,附加到图片伸展【zhǎn】旋转。ImageMagick是免费【fèi】软件【jiàn】:全【quán】部【bù】源码开【kāi】放,可以自由使用,复制,修改,发布,它遵守GPL许【xǔ】可协议【yì】,可以运【yùn】行【háng】于大【dà】多数的操作系统,ImageMagick的【de】大多数【shù】功【gōng】能的使用【yòng】都来源于命令行【háng】工【gōng】具。由【yóu】于【yú】其强大【dà】的功能以及超【chāo】强的可操作性,是的这款作图软件深得广大办公人士喜爱,正因为如【rú】此,此次0day漏洞所带来【lái】的【de】影响超乎了人们的【de】想象。诸多网站论坛【tán】都深受其害,其中不乏百度、阿里、腾讯【xùn】、新浪等知名网站,一时间,业【yè】界各【gè】大网站及企【qǐ】业都【dōu】人人自危,纷纷自【zì】查,以【yǐ】免中招。
那么对于我们来说,如果去解决这个漏洞呢?
1.最完善的解决方案是“等”:等ImageMagick的官方更新,并将其升级【jí】到最【zuì】新版【bǎn】本。不过这似乎要等段时间。
2.ImageMagick官方给出了一个临时解决方案:通过配置文件,禁用ImageMagick。
在“/etc/ImageMagick/policy.xml” 文件中添加如下【xià】代【dài】码:
<policymap> <policy domain="coder" rights="none" pattern="EPHEMERAL" /> <policy domain="coder" rights="none" pattern="URL" /> <policy domain="coder" rights="none" pattern="HTTPS" /> <policy domain="coder" rights="none" pattern="MVG" /> <policy domain="coder" rights="none" pattern="MSL" /> </policymap>3.关于wordpress的临时解决方法。
将wordpress的【de】默认图片处【chù】理库优先顺【shùn】序改为GD优先,这【zhè】也是阿里云给出的临【lín】时解决方案:(不【bú】过我就不要【yào】钱了,其实也很简【jiǎn】单)
在wp-includes/media.php中搜索:
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );
修改为:
$implementations = apply_filters( 'wp_image_editors', array('WP_Image_Editor_GD','WP_Image_Editor_Imagick' ) );
问题临时解决。
版权所有:深圳市网商在线科技有限公司