阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

WP_Image_Editor_Imagick 漏洞临时解决方法

80次阅读
没有评论

共计 1384 个字符,预计需要花费 4 分钟才能阅读完成。

导读 阿里云推送的一条短信通知:存放在上面的 WordPress 程序有 WP_Image_Editor_Imagick 漏洞问题,需要登入后台补丁等等的暗示。当然,如果需要在线补丁则需要升级阿里云的安骑士专业版,100 元 / 5 台 / 月。其实对于我们来说我们没有必要去购买这个服务,因为这个漏洞并不是由于 Wordpress 程序本身造成的,而是由于 ImageMagick 这个 PHP 图像处理模块爆出的“0day”漏洞所引发的。

WP_Image_Editor_Imagick 漏洞临时解决方法
先来说下 ImageMagick 这个模块,ImageMagick 是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick 是免费软件:全部源码开放,可以自由使用,复制,修改,发布,它遵守 GPL 许可协议,可以运行于大多数的操作系统,ImageMagick 的大多数功能的使用都来源于命令行工具。由于其强大的功能以及超强的可操作性,是的这款作图软件深得广大办公人士喜爱,正因为如此,此次 0day 漏洞所带来的影响超乎了人们的想象。诸多网站论坛都深受其害,其中不乏百度、阿里、腾讯、新浪等知名网站,一时间,业界各大网站及企业都人人自危,纷纷自查,以免中招。

那么对于我们来说,如果去解决这个漏洞呢?

1. 最完善的解决方案是“等”:

等 ImageMagick 的官方更新,并将其升级到最新版本。不过这似乎要等段时间。

2.ImageMagick 官方给出了一个临时解决方案:

通过配置文件,禁用 ImageMagick。
在“/etc/ImageMagick/policy.xml”文件中添加如下代码:

<policymap>
 
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
 
<policy domain="coder" rights="none" pattern="URL" />
 
<policy domain="coder" rights="none" pattern="HTTPS" />
 
<policy domain="coder" rights="none" pattern="MVG" />
 
<policy domain="coder" rights="none" pattern="MSL" />
 
</policymap>
3. 关于 wordpress 的临时解决方法。

将 wordpress 的默认图片处理库优先顺序改为 GD 优先,这也是阿里云给出的临时解决方案:(不过我就不要钱了,其实也很简单)
在 wp-includes/media.php 中搜索:

$implementations = apply_filters('wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD') );

修改为:

$implementations = apply_filters('wp_image_editors', array('WP_Image_Editor_GD','WP_Image_Editor_Imagick') );

问题临时解决。

阿里云 2 核 2G 服务器 3M 带宽 61 元 1 年,有高配

腾讯云新客低至 82 元 / 年,老客户 99 元 / 年

代金券:在阿里云专用满减优惠券

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2024-07-24发表,共计1384字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中