漏洞介绍： 
近日，著名图像处理软件ImageMagic发布安全漏洞（CVE-2016-3714)，该漏洞中包含了一个在处理图像中存在命令注入的安全问题，使得黑客可以通过编辑特殊的svg\mvg文件上传给服务器处理，进而控制服务器。该软件在许多开源产品和服务器中有广泛的使用，被许多编程语言所支持，包括Perl，C++，PHP，Python和Ruby等，并被部署在数以百万计的网站，博客，社交媒体平台和流行的内容管理系统(CMS)，例如WordPress和Drupal，请注意安全防护。
 
漏洞细节：
ImageMagic系列软件在对外部引用的实体地址进行引用解析时，会使用exec函数将其进行获取并操作。攻击者发现ImageMagic在对url()等函数进行操作时，没有正确处理外部实体连接，导致黑客可以通过注入系统命令进行攻击，如 url("'https://a.b.c.d.com/a.jpg'|ls" -al), 此时将会引发漏洞。
 
漏洞防护：
官方发布了新的ImageMagic版本，但是未能完全修复该漏洞，目前推荐的临时修复方案为使用配置文件，不解析带有特殊字符的文件。方法为修改 /etc/ImageMagick/policy.xml， 加入安全策略：
<policymap>
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTP" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="SVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
</policymap>