各单位网站管理员：

    近日，国家信息安全漏洞共享平台（CNVD）收录了ImageMagick远程代码执行漏洞（CNVD-2016-02721，对应CVE-2016-3714）。远程攻击者利用漏洞通过上传恶意构造的图像文件，可在目标服务器执行任意代码，进而获得网站服务器的控制权。由于有多种编程语言对ImageMagick提供调用支持且一些广泛应用的Web中间件在部署中包含相关功能，对互联网站安全构成重大威胁。

    漏洞影响ImageMagick  6.9.3-9及以下的所有版本。目前，互联网上已经披露了该漏洞的利用代码，厂商尚未发布漏洞修复程序，预计近期在ImageMagick 7.0.1-1和6.9.3-10版本中修复该漏洞。CNVD建议相关用户关注厂商主页更新，及时下载使用，避免引发漏洞相关的网络安全事件。

    在厂商发布新版本之前，建议通过配置策略文件暂时禁用ImageMagick，可在 “/etc/ImageMagick/policy.xml”文件中添加如下代码：

    <policymap>

    <policy domain="coder" rights="none"pattern="EPHEMERAL" />

    <policy domain="coder" rights="none"pattern="URL" />

    <policy domain="coder" rights="none"pattern="HTTPS" />

    <policy domain="coder" rights="none"pattern="MVG" />

    <policy domain="coder" rights="none"pattern="MSL" />

    </policymap>