WP_Image_Editor_Imagick 漏洞臨時(shí)解決方法

wordpress 2024-04-02編輯：重慶網(wǎng)站建設(shè) WordPress 解決方法 漏洞

先來(lái)說(shuō)下ImageMagick這個(gè)模塊，ImageMagick是一個(gè)免費(fèi)的創(chuàng)建、編輯、合成圖片的軟件。它可以讀取、轉(zhuǎn)換、寫(xiě)入多種格式的圖片。圖片切割、顏色替換、各種效果的應(yīng)用，圖片的旋轉(zhuǎn)、組合，文本，直線(xiàn)，多邊形，橢圓，曲線(xiàn)，附加到圖片伸展旋轉(zhuǎn)。ImageMagick是免費(fèi)軟件：全部源碼開(kāi)放，可以自由使用，復(fù)制，修改，發(fā)布，它遵守GPL許可協(xié)議，可以運(yùn)行于大多數(shù)的操作系統(tǒng)，ImageMagick的大多數(shù)功能的使用都來(lái)源于命令行工具。由于其強(qiáng)大的功能以及超強(qiáng)的可操作性，是的這款作圖軟件深得廣大辦公人士喜愛(ài)，正因?yàn)槿绱?，此?day漏洞所帶來(lái)的影響超乎了人們的想象。諸多網(wǎng)站論壇都深受其害，其中不乏百度、阿里、騰訊、新浪等知名網(wǎng)站，一時(shí)間，業(yè)界各大網(wǎng)站及企業(yè)都人人自危，紛紛自查，以免中招。

那么對(duì)于我們來(lái)說(shuō)，如果去解決這個(gè)漏洞呢？

等ImageMagick的官方更新，并將其升級(jí)到最新版本。不過(guò)這似乎要等段時(shí)間。

通過(guò)配置文件，禁用ImageMagick。
在“/etc/ImageMagick/policy.xml” 文件中添加如下代碼：

<policymap>
?
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
?
<policy domain="coder" rights="none" pattern="URL" />
?
<policy domain="coder" rights="none" pattern="HTTPS" />
?
<policy domain="coder" rights="none" pattern="MVG" />
?
<policy domain="coder" rights="none" pattern="MSL" />
?
</policymap>

將wordpress的默認(rèn)圖片處理庫(kù)優(yōu)先順序改為GD優(yōu)先，這也是阿里云給出的臨時(shí)解決方案：（不過(guò)我就不要錢(qián)了，其實(shí)也很簡(jiǎn)單）
在wp-includes/media.php中搜索:

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

修改為:

$implementations = apply_filters( 'wp_image_editors', array('WP_Image_Editor_GD','WP_Image_Editor_Imagick' ) );

問(wèn)題臨時(shí)解決。

• 上一章：MySQL數(shù)據(jù)庫(kù)InnoDB轉(zhuǎn)換為MyISAM圖文教程...
• 下一章：AWS如何使用api控制開(kāi)機(jī)創(chuàng)建功能？自用...