为什么 ImageMagick 这样的开源软件也会引入如此严重的安全漏洞?

为什么大公司的应用也有 bug 呢

自古开源不缺坑，只是个臭虫那更加正常了。
流行度和有外部团队协作维护这不能说明它就不能有重大 bug ，只是在有些的空间和时间内，相对会减低 bug 而已，毕竟真正一天到晚针对 IM 的做安全测试的公司，团队，个人会有多少呢？
像 ms ， google 等大公司有专业的安全 /测试团队，他们的产品也无法避免存在重大的 bug 的问题，所以对于开源我们不能要求太高了。

额 漏洞之所以叫漏洞 是因为你没发现的时候它不叫漏洞

不好的编程习惯引入的漏洞。

比方说这次是用了 system()来开 subprocess ，而不是 fork/exec 。

如果你能去传说中的"0day"漏洞交易市场看看, 那里的安全性 bug 估计会更让你叹为观止.

你以为开源软件背后是一堆人在维护，其实可能只是一两个人在撑着

“让这样严重的安全问题代码入库”

这马后炮放的

漏洞就跟 bug 一样，是人就会犯错

oh,no

lz 该从哪里吐槽呢..

"不过一个图片转换软件为什么要读取并执行图片内容呢？ imagemagick 有类似功能？这点我没能理解。"

试问一些,一个图片转换文件,不读取文件内容,怎么转换...

至于后面那句"读取并执行图片内容",那是发现了这个远程执行漏洞...才有这个问题.....不知道 lz 能不能看懂..

我感觉..lz 对于安全这块的知识几乎是空白的..

ImageMagick 够难用了，谁说开源就一定好。 IDEA 把 eclipse 甩出一条街

永远不要相信用户的输入

有个东西叫缓冲区溢出，没有做好检查的话，会一直往后写，导致栈被修改掉。而函数的返回地址也在栈里，就导致返回时跳到其他区域，就能执行攻击代码了。

谁让现在这么多闲得蛋疼的人专门去找别人的漏洞呢

@allenx 有经济利益驱动，怎么能叫闲的蛋疼呢~

这个洞根本不能用粗心犯错解释的，完全就是经验习惯问题。
system 这么高危的调用，正常都要提起 12 分警觉。而且就像 sql 注入一样，过滤是不够的。

openssl 笑而不语。

开源不代表安全吧，这就好比“公共汽车会比私家车安全”一样的伪命题。