我在问,PECL imagick扩展是否也容易受到新的非常关键的ImageMagick安全问题的攻击(请查看此处和此处)。扩展是否也只是通过shell使用ImageMagick工具?
是。
Imagick PECL是一个绑定到C-API MagickWand的PHP。它不调用shell会话,但易受委托安全问题的影响——同样如此。
根据通知的建议更新policy.xml
编辑以完成
如何更新policy.xml
(YMMV)
-
在系统上查找ImageMagick的共享路径。
$ identify -list configure | grep SHARE #=> SHARE_PATH /usr/share/ImageMagick-6
-
在上一步的目录中创建或编辑
policy.xml
。$ cd /usr/share/ImageMagick-6 $ sudo cat > policy.xml <<EOF <policymap> <policy domain="coder" rights="none" pattern="EPHEMERAL" /> <policy domain="coder" rights="none" pattern="HTTPS" /> <policy domain="coder" rights="none" pattern="MVG" /> <policy domain="coder" rights="none" pattern="MSL" /> <policy domain="coder" rights="none" pattern="TEXT" /> <policy domain="coder" rights="none" pattern="SHOW" /> <policy domain="coder" rights="none" pattern="WIN" /> <policy domain="coder" rights="none" pattern="PLT" /> </policymap> EOF
-
使用
identify -list policy
验证策略加载。 - 重新启动web服务以确保加载新策略