Tyl*_*ler 4 security imagemagick
我听说在用户提供的任意图像上使用 ImageMagick 时可能存在安全问题。例如,下面的链接证明曾经存在一些缓冲区溢出漏洞。有谁知道我现在是否可以安全地使用它作为处理用户图像的网络服务的一部分?
是的,存在安全风险 - 软件存在漏洞,其中一些漏洞可用于攻击其运行的系统。
但您可以将风险降至最低:
创建一个具有最低权限的用户帐户,以便它足以运行 ImageMagick。现在仅使用该帐户执行 ImageMagick
启用自动安全更新:可以将 Ubuntu 等 Linux 系统配置为自动安装安全修复程序。如果发现漏洞,这会减少您的系统易受攻击的时间。Windows 系统也有自动更新系统,但不包括 ImageMagick 等第三方软件。
该安全公告来自 2006 年。所有软件都有错误,但我不会说 ImageMagick 比其他软件更多。说真的,如果您正在实施 Web 服务,那么您很可能会通过 Apache 被黑客入侵,而不是使用 ImageMagick。
简而言之,不要担心,但一定要保持所有软件都是最新的。
编辑:顺便说一下,我帮助一个客户实现了一个使用 ImageMagick 的 Web 服务,但我从未听说过它有任何问题。
| 归档时间: |
|
| 查看次数: |
2790 次 |
| 最近记录: |