2018年04月6日网站服务器迁移完成……

阿里云提示 存在wordpress WP_Image_Editor_Imagick 指令注入漏洞 解决办法

wordpress 苏 demo 1182℃ 0评论

%e4%b8%8b%e8%bd%bd
【阿里云】尊敬的用户:您的服务器*.*.*.* 存在wordpress WP_Image_Editor_Imagick 指令注入漏洞,已为您准备云盾自研补丁可一键修复该漏洞,为避免被黑客入侵,建议您登录云盾-服务器安全(安骑士)控制台,进行查看和处理。
说实话,本身wordpress 没有这个漏洞,需要检查服务器环境中有安装ImageMagick。
阿里云也是比较有意思。。。为了推广自己的安骑士服务,没救了。。。
检查是否有ImageMagick漏洞
convert ‘https://example.com”|ls “-la’ out.png
补丁WP_Image_Editor_Imagick

1、找到wp-includes/media.php 2898行

2、修改文件

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_Imagick' ) );
官方提供的解决办法
vim /etc/ImageMagick/policy.xml
添加脚本
<policymap>
<policy domain=”coder” rights=”none” pattern=”EPHEMERAL” />
<policy domain=”coder” rights=”none” pattern=”URL” />
<policy domain=”coder” rights=”none” pattern=”HTTPS” />
<policy domain=”coder” rights=”none” pattern=”MVG” />
<policy domain=”coder” rights=”none” pattern=”MSL” />
</policymap>
这个官方给予的方法,禁止ImageMagick。
打赏

转载请注明:苏demo的别样人生 » 阿里云提示 存在wordpress WP_Image_Editor_Imagick 指令注入漏洞 解决办法

   如果本篇文章对您有帮助,欢迎向博主进行赞助,赞助时请写上您的用户名。
支付宝直接捐助帐号oracle_lee@qq.com 感谢支持!
喜欢 (0)or分享 (0)
发表我的评论
取消评论
表情