Hulle het 'n kwesbaarheid gevind in Ghostscript wat deur ImageMagick uitgebuit is

Onlangs het die nuus dit bekend gemaak 'n kritieke kwesbaarheid geïdentifiseer (wat reeds as CVE-2021-3781 gekatalogiseer is) in Ghostscript ('n stel gereedskap vir die verwerking, omskakeling en opwekking van dokumente in PostScript- en PDF -formate) wat laat arbitrêre kode toe wanneer 'n spesiaal geformateerde lêer verwerk word.

Aanvanklik, Emil Lerner het daarop gewys dat daar 'n probleem is en wat ook op 25 Augustus oor kwesbaarheid gepraat hetof tydens die laaste Saint Petersburg ZeroNights X -konferensie (In die verslag het getoon hoe Emile binne die bug -bounty -program die kwesbaarheid gebruik om belonings te kry vir demonstrasie -aanvalle op AirBNB, Dropbox en Yandex.Realty -dienste).

Op 5 September verskyn 'n funksionele ontginning openbare domein waarmee Ubuntu 20.04-stelsels aangeval kan word deur 'n webskrip wat op die bediener loop, oor te dra met behulp van die php-imagemagick-pakket, 'n spesiaal vervaardigde dokument wat onder die dekmantel van 'n beeld gelaai is.

Ons het nou 'n oplossing om te toets.

Aangesien hierdie uitbuiting blykbaar sedert Maart in omloop is en sedert ten minste 25 Augustus volledig openbaar is (soveel vir verantwoordelike bekendmaking!), Is ek geneig om die oplossing in die openbaar te plaas sodra ons die toets en die hersiening voltooi het.

Hoewel aan die ander kant, word dit ook genoem dat volgens voorlopige gegewens, so 'n ontginning word sedert Maart gebruik en dit is aangekondig dat kan stelsels met GhostScript 9.50 aanval, maar dit is onthul dat die kwesbaarheid voortduur in alle daaropvolgende weergawes van GhostScript, insluitend Git -ontwikkelingsweergawe 9.55.

'N Regstelling is daarna op 8 September voorgestel en na ewekniebeoordeling is dit op 9 September in die GhostScript -bewaarplek aanvaar.

Soos ek vroeër genoem het, aangesien die uitbuiting vir ten minste 6 maande 'in die natuur' was, het ek die pleister reeds by ons openbare bewaarplek ingedien; dit was nutteloos om die pleister geheim te hou.

Ek maak Vrydag weer hierdie fout openbaar voor die sluiting van die besigheid (VK), tensy daar sterk en oortuigende argumente is om dit nie te doen nie (u kan steeds 'n skakel maak, en dit sal nie die URL verander nie).

Die probleem is te wyte aan die vermoë om die isolasiemodus "-dSAFER" te omseil as gevolg van onvoldoende validering van die PostScript -apparaatparameters "% pipe%", waarmee willekeurige dopopdragte uitgevoer kon word.

Om byvoorbeeld die identifikasiehulpprogram op 'n dokument uit te voer, hoef u slegs die string "(% pipe% / tmp / & id) (w) file" of "(% pipe% / tmp /; id) (r) te spesifiseer lêer ».

Ter herinneringDie kwesbaarhede in Ghostscript is ernstiger, aangesien hierdie pakket in baie toepassings gebruik word gewild vir die verwerking van PostScript- en PDF -formate. Byvoorbeeld, Ghostscript word genoem wanneer u kleinkiekies op die tafelblad skep, data op die agtergrond indekseer en beelde omskakel. Vir 'n suksesvolle aanval is dit in baie gevalle genoeg om die exploit -lêer af te laai of deur die gids te blaai in 'n lêerbestuurder wat die vertoning van dokument -kleinkiekies ondersteun, byvoorbeeld in Nautilus.

Kwesbaarhede in Ghostscript kan ook benut word via beeldbeheerders gebaseer op die ImageMagick- en GraphicsMagick -pakkette, om 'n JPEG- of PNG -lêer deur te gee, wat PostScript -kode in plaas van 'n prent bevat (hierdie lêer sal in Ghostscript verwerk word, aangesien die MIME -tipe deur die inhoud herken word, en sonder dat dit van die uitbreiding afhang).

As 'n oplossing om die kwesbaarheid te ontgin deur die outomatiese miniatuurgenerator in GNOME en ImageMagick, word dit aanbeveel om die evince-thumbnailer-oproep in /usr/share/thumbnailers/evince.thumbnailer uit te skakel en die weergawe van PS, EPS, PDF uit te skakel en XPS -formate in ImageMagick,

Ten slotte Daar word genoem dat die probleem in baie verspreidings steeds nie opgelos is nie (die status van die vrystelling van opdaterings kan op die bladsye van Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).

Daar word ook genoem dat die vrystelling van GhostScript met die uitskakeling van die kwesbaarheid voor die einde van die maand gepubliseer sal word. As u meer hieroor wil weet, kan u die besonderhede in die volgende skakel.


Die inhoud van die artikel voldoen aan ons beginsels van redaksionele etiek. Klik op om 'n fout te rapporteer hier.

Wees die eerste om te kommentaar lewer

Laat u kommentaar

Jou e-posadres sal nie gepubliseer word nie. Verpligte velde gemerk met *

*

*

  1. Verantwoordelik vir die data: Miguel Ángel Gatón
  2. Doel van die data: Beheer SPAM, bestuur van kommentaar.
  3. Wettiging: U toestemming
  4. Kommunikasie van die data: Die data sal nie aan derde partye oorgedra word nie, behalwe deur wettige verpligtinge.
  5. Datastoor: databasis aangebied deur Occentus Networks (EU)
  6. Regte: U kan u inligting te alle tye beperk, herstel en verwyder.