一、背景介绍
近日,市委网信办技术支撑单位监测ImageMagick信息泄露漏洞和拒绝服务漏洞技术细节及PoC在互联网上公开。
1.1 漏洞描述
ImageMagick 信息泄露漏洞(CVE-2022-44267) 和拒绝服务漏洞(CVE-2022-44268)的技术细节及 PoC 在互联网上公开,远程攻击者可通过制作恶意的PNG文件并上传至受影响的使用ImageMagick 解析图片的网站来利用这两个漏洞,当网站或应用使用ImageMagick对恶意的PNG文件进行解析时将触发这两个漏洞,从而造成敏感信息泄露或拒绝服务。
1.2 漏洞编号
CVE-2022-44267
CVE-2022-44268
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
CVE-2022-44267和CVE-2022-44268均为:
ImageMagick 7.1.x <= 7.1.0-51
ImageMagick 7.0.x
ImageMagick 6.9.x
6.8.3-10 <= ImageMagick 6.8.x <= 6.8.9-10
2.2 修复建议
目前官方已发布修复版本,建议受影响用户升级至 ImageMagick >= 7.1.0-52版本进行漏洞修复。
https://imagemagick.org/script/download.php
https://github.com/ImageMagick/ImageMagick/releases