Ili trovis vundeblecon en Ghostscript, kiu estis ekspluatita per ImageMagick

Lastatempe la novaĵo disigis tion identigis kritikan vundeblecon (kiu jam estas katalogita kiel CVE-2021-3781) en Ghostscript (aro de iloj por prilabori, konverti kaj generi dokumentojn en formatoj PostScript kaj PDF) tio permesas plenumi arbitran kodon kiam oni prilaboras speciale formatitan dosieron.

Komence, Emil Lerner montris, ke estas problemo kaj kiu ankaŭ parolis pri vundebleco la 25an de aŭgustoaŭ ĉe la pasinta Sankt-Peterburga ZeroNights X-konferenco (En la raporto montris kiel Emile ene de la programo de premio pri cimoj uzas la vundeblecon por ricevi rekompencojn por manifestaciaj atakoj kontraŭ AirBNB, Dropbox kaj Yandex.Realty-servoj).

La 5an de septembro aperis funkcia ekspluatado publika havaĵo, kiu permesas ataki Ubuntu 20.04-sistemojn per translokigo de reta skripto, kiu funkcias sur la servilo per la pakaĵo php-imagemagick, speciale kreita dokumento ŝarĝita sub la aspekto de bildo.

Ni havas solvon en testado nun.

Ĉar ĉi tiu ekspluatado ŝajne cirkulas ekde marto kaj estas plene publika ekde almenaŭ la 25-a de aŭgusto (tiom multe por respondeca malkaŝo!), Mi emas publikigi la solvon publike tuj kiam ni finos testadon kaj revizion.

Kvankam aliflanke, estas ankaŭ menciite, ke laŭ antaŭaj datumoj, tia ekspluatado estas uzata ekde marto kaj oni sciis tion povas ataki sistemojn kun GhostScript 9.50, sed estis rivelita, ke la vundebleco daŭris en ĉiuj postaj versioj de GhostScript, inkluzive de Git-disvolva versio 9.55.

Korekto poste estis proponita la 8an de septembro kaj post samula revizio ĝi estis akceptita en la deponejon GhostScript la 9an de septembro.

Kiel mi menciis pli frue, ĉar la ekspluatado estas "sovaĝa" dum almenaŭ 6 monatoj, mi jam sendis la flikaĵon al nia publika deponejo; sekretigi la diakilon en ĉi tiu cirkonstanco ŝajnis senutila.

Mi publikigos ĉi tiun cimon antaŭ la fino de la komerco (UK) vendrede, denove, krom se ekzistas fortaj kaj konvinkaj argumentoj por ne fari tion (vi ankoraŭ povas ligi ĝin, fari ĝin publika ne ŝanĝos la URL).

La problemo ŝuldiĝas al la kapablo preteriri la izolan reĝimon "-dSAFER" pro nesufiĉa validado de la parametroj de PostScript-aparato "% pipe%", kiu permesis plenumi arbitrajn ŝelajn komandojn.

Ekzemple, por lanĉi la identigan ilon en dokumento, vi nur bezonas specifi la ĉenon "(% pipe% / tmp / & id) (w) dosiero" aŭ "(% pipe% / tmp /; id) (r) dosiero ».

Kiel memorigilo, la vundeblecoj en Ghostscript estas pli gravaj, ĉar ĉi tiu pako estas uzata en multaj aplikoj populara por prilaborado de PostScript kaj PDF-formatoj. Ekzemple, Ghostscript estas nomata kreante bildetojn sur la labortablo, kiam indeksas datumojn en la fono kaj kiam konvertas bildojn. Por sukcesa atako, en multaj kazoj, sufiĉas elŝuti la ekspluatan dosieron aŭ navigi per ĝi en la dosierujo en dosieradministrilo, kiu subtenas la montradon de dokumentaj bildetoj, ekzemple en Naŭtilo.

Vundeblecoj en Ghostscript povas ankaŭ esti ekspluatita per bildregiloj surbaze de la pakaĵoj ImageMagick kaj GraphicsMagick, preterpasante JPEG aŭ PNG-dosieron, kiu enhavas PostScript-kodon anstataŭ bildo (ĉi tiu dosiero estos prilaborita en Ghostscript, ĉar la MIME-tipo estas rekonita de la enhavo, kaj sen dependi de la etendaĵo).

Kiel solvo por protekti kontraŭ ekspluatado de la vundebleco per la aŭtomata bildeto-generilo en GNOME kaj ImageMagick, oni rekomendas malŝalti la alvokon evince-thumbnailer en /usr/share/thumbnailers/evince.thumbnailer kaj malebligi la bildigon de PS, EPS, PDF kaj XPS-formatoj en ImageMagick,

Fine estas menciite, ke en multaj distribuoj la problemo ankoraŭ ne estas riparita (La stato de la eldono de ĝisdatigoj videblas sur la paĝoj de Debian, ubuntu, Fedora, SUSE, RELO, Arch Linukso, FreeBSD, NetBSD).

Estas ankaŭ menciite, ke la eldono de GhostScript kun la forigo de la vundebleco estas antaŭvidita publikiĝi antaŭ la fino de la monato. Se vi volas scii pli pri ĝi, vi povas kontroli la detalojn en la sekva ligilo.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

Estu la unua por komenti

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.