Zranitelnost v knihovně ImageMagick

Problém není aktuálně ve WordPressu, ale jedná se o poměrně závažný problém, který může ovlivnit i weby, na WordPressu běžící.

Před několika dny, byla zveřejněna zranitelnost knihovny ImageMagick, které může ovlivnit všechny WordPress weby, které hostují na serverech s nainstalovanou knihovnou. Pokud máte možnost ovlivnit nastavení serveru, měli by jste učinit potřebné kroky.

Celkový dopad tohoto problému není znám, ale existuje několik kroků , které můžete učinit.

Jak budou ovlivněny WordPress weby?

Všechny mediální soubory, obsahující škodlivá data, nahrána do administrace, mohou vytvářet exploity, právě pomocí knihovny ImageMagick. Což se týká všech uživatelů s oprávněním upload_files. V základu to jsou autoři, editoři a administrátoři.

Problém se však nevyskytuje ve WordPressu, ale v knihovně a proto by jste měli komunikovat především s poskytovatelem vašeho hostingu. Poskytovatel by se měl zaměřit především na ImageTragick (CVE-2016-3714, CVE-2016-3718 a CVE-2016-3715) exploit.

Jak poznám, že je můj web zranitelný?

Problém mají pouze weby, jejichž PHP obsahuje rozšíření PHP Imagick. Jak zjistíte, že máte knihovnu nainstalovánu?

  1. Zavolejte v kódu nějaké stránky funkci phpinfo() a hledejte “Imagick”.
  2. Spusťte příkaz php -m | grep imagick v příkazové řádce.
  3. Nainstalujte PHP Info WordPress plugin, a hledejte “Imagick”.

Jak mohu odstranit tento problém?

Aktuálně nejlepší známé řešení, je  přidat soubor policy.xml do vaší ImageMagick instalace, k omezení toho, kdo může knihovnu používat. Potřebné informace najdete na https://imagetragick.com/

Čtěte  Wordpress query generator

ImageMagick 6.9.3-10

Image Magick vydal 3.5. 2016 update s opravou, ale není zatím známo, za oprava byla schopna pokrýt celý rozsah problému, nakolik tento rozsah není znát. Měli by jste předpokládat, že tomu tak není a použít řešení ve formě privacy.xml souboru.

Další informace

Více informací najdete na imagetragick.com, kde budou zveřejňovány všechny důležité aktuality.

Dokumentaci k použití souboru policy.xml najdete na https://www.imagemagick.org/script/resources.php

Článek byl volně přeložen z https://make.wordpress.org/core/2016/05/06/imagemagick-vulnerability-information/

 

About The Author

Zajímá mne Wordpress, responsivní šablony a zkrátka vše kolem tohoto skvělého redakčního systému.

Související články

1 Comment

  1. Jan

    Musildo, fajn, ale nepíše se „by jste“, ale „byste“ – nevypadá to tak, ale je to podle pravidel pravopisu správně. Trochu mě to bije do očí. Jinak dík za informace.

    Odpověď

Přidejte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Chcete mít přehled o dění ve světě WordPressu?

Přímo do vašeho emailu

Pravidelný přehled o novinkách, trendech a událostech, které se točí kolem WordPressu. Souhrn toho nejzajímavějšího od nás i ze zahraničí.