标签: imagemagick code-injection
我想知道是否可以通过用户上传的文件提供ImageMagic的convert命令(除了事实上它每天都要进行数百万次)?
convert
显然,ImageMagic具有很大的攻击前沿,因为它能够加载大量格式,因此使用大量代码处理输入数据。
过多的CPU或内存消耗没有坏处,因为可以通过简单的方法(例如ulimit)来控制它。但是convert必须阻止对网络访问进行抄袭文件访问或运行注入的代码。我们可以期待这个吗?
ulimit
是否有针对ImageMagic作者的程序要为这些漏洞提供可行的安全措施?