WordPress 安全漏洞(二)

前几天刚吐槽阿里云盾,今天一大早就到收到了阿里云盾的 “高危漏洞通知”。

阿里云盾"高危漏洞通知"

于是登录阿里云看了一下,果然有一条漏洞提示,而且提供了两种解决方案:

1. 【一键修复】(漏洞补丁),收费服务,需要购买云盾·安骑士,100 RMB 起。

2. 【自己动手修】。

对于我这种动手能力强(穷)的人来说,当然选择第二种解决方案了。

于是网上搜索了一下,找到了下面一种临时解决方案:

打开 wp-includes/media.php , 定位到 2898 行, 或者查找 wp_image_editors。

# vi wp-includes/media.php

2898G or /wp_image_editors

我们看到,WordPress优先选择 WP_Image_Editor_Imagick 来处理图片。

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

现在我们把顺序对调一下。

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_Imagick' ) );

再去阿里云后台验证一下,在服务器安全(安骑士)的补丁管理选项下面点击重新验证,就能看到已经修复了。

改完之后才发现,我根本没装 ImageMagick,所以根本不存在漏洞啊!!!

参考:

安全预警:ImageMagick图象处理软件存在远程代码执行(CVE-2016-3714)

http://www.freebuf.com/vuls/103504.html

 1,039 total views,  1 views today

Leave a Reply

Your email address will not be published. Required fields are marked *