Nedavno je vijest objavila to identificirao kritičnu ranjivost (koji je već katalogiziran kao CVE-2021-3781) u Ghostscriptu (skup alata za obradu, pretvaranje i generiranje dokumenata u PostScript i PDF formatima) koji omogućuje izvršavanje proizvoljnog koda pri obradi posebno formatirane datoteke.
U početku, Emil Lerner istaknuo je da postoji problem i koji je također bio taj koji je 25. kolovoza govorio o ranjivostiili na posljednjoj konferenciji ZeroNights X u Sankt Peterburgu (U izvješću je prikazano kako je Emile u okviru programa za nadogradnju grešaka koristio ranjivost za dobivanje nagrada za demonstracijske napade na usluge AirBNB, Dropbox i Yandex.Realty).
Evo slajdova iz mog govora na ZeroNights X! 0 dana za GhostScript 9.50, RCE lanac iskorištavanja za ImageMagick sa zadanim postavkama iz Ubuntu repoa i nekoliko priča o bugovima unutar https://t.co/7JHotVa5DQ
- Emil Lerner (@emil_lerner) Kolovoz 25, 2021
5. rujna pojavio se funkcionalni iskorištavanje javna domena koja omogućuje napad na sustave Ubuntu 20.04 prijenosom web skripte koja se izvodi na poslužitelju pomoću paketa php-imagemagick, posebno izrađenog dokumenta učitanog pod krinkom slike.
Trenutno imamo rješenje za testiranje.
Budući da je ovaj zlouporaba očito u opticaju od ožujka i potpuno je javna od najmanje 25. kolovoza (toliko o odgovornom otkrivanju podataka!), Sklon sam objaviti popravak javno čim završimo testiranje i pregled.
Iako se s druge strane spominje i da je prema preliminarnim podacima, takav se podvig koristi od ožujka i najavljeno je da može napadati sustave s GhostScript 9.50, no otkriveno je da se ranjivost nastavila u svim narednim verzijama GhostScript -a, uključujući Git razvojnu verziju 9.55.
Ispravka je naknadno predložena 8. rujna i nakon recenzije, prihvaćen je u spremište GhostScript 9. rujna.
Kao što sam ranije spomenuo, budući da je iskorištavanje "u divljini" najmanje 6 mjeseci, već sam poslao zakrpu u naše javno spremište; držati zakrpu u tajnosti u ovim okolnostima činilo se beskorisnim.
Ovu ću grešku javno objaviti prije zatvaranja posla (UK) u petak, osim ako postoje jaki i uvjerljivi argumenti da to ne učinite (i dalje se možete povezati s njom, objavljivanjem neće promijeniti URL).
Problem nastaje zbog mogućnosti zaobilaženja načina izolacije "-dSAFER" zbog nedovoljne valjanosti parametara PostScript uređaja "% pipe%", što je omogućilo izvršavanje proizvoljnih naredbi ljuske.
Na primjer, da biste pokrenuli uslužni program za identifikaciju na dokumentu, trebate samo navesti niz "(% pipe% / tmp / & id) (w) file" ili "(% pipe% / tmp /; id) (r) datoteka ».
Kao podsjetnik, ranjivosti u Ghostscript -u su ozbiljnije, budući da se ovaj paket koristi u mnogim aplikacijama popularan za obradu PostScript i PDF formata. Na primjer, Ghostscript se poziva pri stvaranju sličica na radnoj površini, pri indeksiranju podataka u pozadini i pri pretvaranju slika. Za uspješan napad, u mnogim slučajevima, dovoljno je preuzeti exploit datoteku ili pregledati direktorij s njom u upravitelju datoteka koji podržava prikaz sličica dokumenata, na primjer u Nautilusu.
Ranjivosti u Ghostscriptu također se može iskoristiti putem kontrolera slike na temelju paketa ImageMagick i GraphicsMagick, prosljeđujući JPEG ili PNG datoteku, koja umjesto slike sadrži PostScript kod (ova će se datoteka obraditi u Ghostscripturu, budući da MIME tip prepoznaje sadržaj, i bez ovisnosti o proširenju).
Kao zaobilazno rješenje za zaštitu od iskorištavanja ranjivosti putem automatskog generatora sličica u GNOME-u i ImageMagicku, preporučuje se onemogućiti poziv evince-thumbnailer u /usr/share/thumbnailers/evince.thumbnailer i onemogućiti prikazivanje PS, EPS, PDF i XPS formati u ImageMagicku,
Konačno Spominje se da u mnogim distribucijama problem još uvijek nije riješen (status izdanja ažuriranja možete vidjeti na stranicama Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).
Također se spominje da će objavljivanje GhostScript -a s uklanjanjem ranjivosti biti objavljeno prije kraja mjeseca. Ako želite saznati više o tome, možete provjeriti pojedinosti u sljedeći link.