Zranitelnost v knihovně ImageMagick

Problém není aktuálně ve WordPressu, ale jedná se o poměrně závažný problém, který může ovlivnit i weby, na WordPressu běžící.

Před několika dny, byla zveřejněna zranitelnost knihovny ImageMagick, které může ovlivnit všechny WordPress weby, které hostují na serverech s nainstalovanou knihovnou. Pokud máte možnost ovlivnit nastavení serveru, měli by jste učinit potřebné kroky.

Celkový dopad tohoto problému není znám, ale existuje několik kroků , které můžete učinit.

Jak budou ovlivněny WordPress weby?

Všechny mediální soubory, obsahující škodlivá data, nahrána do administrace, mohou vytvářet exploity, právě pomocí knihovny ImageMagick. Což se týká všech uživatelů s oprávněním upload_files. V základu to jsou autoři, editoři a administrátoři.

Problém se však nevyskytuje ve WordPressu, ale v knihovně a proto by jste měli komunikovat především s poskytovatelem vašeho hostingu. Poskytovatel by se měl zaměřit především na ImageTragick (CVE-2016-3714, CVE-2016-3718 a CVE-2016-3715) exploit.

Jak poznám, že je můj web zranitelný?

Problém mají pouze weby, jejichž PHP obsahuje rozšíření PHP Imagick. Jak zjistíte, že máte knihovnu nainstalovánu?

  1. Zavolejte v kódu nějaké stránky funkci phpinfo() a hledejte “Imagick”.
  2. Spusťte příkaz php -m | grep imagick v příkazové řádce.
  3. Nainstalujte PHP Info WordPress plugin, a hledejte “Imagick”.

Jak mohu odstranit tento problém?

Aktuálně nejlepší známé řešení, je  přidat soubor policy.xml do vaší ImageMagick instalace, k omezení toho, kdo může knihovnu používat. Potřebné informace najdete na https://imagetragick.com/

ImageMagick 6.9.3-10

Image Magick vydal 3.5. 2016 update s opravou, ale není zatím známo, za oprava byla schopna pokrýt celý rozsah problému, nakolik tento rozsah není znát. Měli by jste předpokládat, že tomu tak není a použít řešení ve formě privacy.xml souboru.

Další informace

Více informací najdete na imagetragick.com, kde budou zveřejňovány všechny důležité aktuality.

Dokumentaci k použití souboru policy.xml najdete na https://www.imagemagick.org/script/resources.php

Článek byl volně přeložen z https://make.wordpress.org/core/2016/05/06/imagemagick-vulnerability-information/

 

About The Author

Zajímá mne Wordpress, responsivní šablony a zkrátka vše kolem tohoto skvělého redakčního systému.

Související články

1 Comments

  1. Jan

    Musildo, fajn, ale nepíše se „by jste“, ale „byste“ – nevypadá to tak, ale je to podle pravidel pravopisu správně. Trochu mě to bije do očí. Jinak dík za informace.

    Odpověď

Přidejte komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *