Baru-baru ini tersiar kabar itu mengidentifikasi kerentanan kritis (yang sudah dikatalogkan sebagai CVE-2021-3781) di Ghostscript (satu set alat untuk memproses, mengonversi, dan menghasilkan dokumen dalam format PostScript dan PDF) yang memungkinkan untuk mengeksekusi kode arbitrer saat memproses file yang diformat khusus.
Mulanya, Emil Lerner menunjukkan bahwa ada masalah dan yang juga berbicara tentang kerentanan pada 25 Agustusatau di konferensi ZeroNights X terakhir di Saint Petersburg (Dalam laporan tersebut menunjukkan bagaimana Emile dalam program bug bounty menggunakan kerentanan untuk mendapatkan hadiah untuk serangan demonstrasi di layanan AirBNB, Dropbox, dan Yandex.Realty).
Berikut slide dari pembicaraan saya di ZeroNights X! 0 hari untuk GhostScript 9.50, rantai eksploitasi RCE untuk ImageMagick dengan pengaturan default dari repo Ubuntu dan beberapa cerita hadiah bug di dalamnya https://t.co/7JHotVa5DQ
- Emil Lerner (@emil_lerner) 25 Agustus 2021
Pada tanggal 5 September, eksploitasi fungsional muncul domain publik yang memungkinkan menyerang sistem Ubuntu 20.04 dengan mentransfer skrip web yang berjalan di server menggunakan paket php-imagemagick, dokumen yang dibuat khusus yang dimuat dengan kedok gambar.
Kami memiliki solusi dalam pengujian sekarang.
Karena eksploitasi ini tampaknya telah beredar sejak Maret dan sepenuhnya publik sejak setidaknya 25 Agustus (begitu banyak untuk pengungkapan yang bertanggung jawab!), Saya cenderung memposting perbaikan secara publik segera setelah kami menyelesaikan pengujian dan peninjauan.
Meskipun di sisi lain disebutkan juga bahwa menurut data awal, eksploitasi seperti itu telah digunakan sejak Maret dan diketahui bahwa dapat menyerang sistem yang menjalankan GhostScript 9.50, tetapi telah terungkap bahwa kerentanan terus berlanjut di semua versi GhostScript berikutnya, termasuk pengembangan Git versi 9.55.
Koreksi kemudian diusulkan pada 8 September dan setelah peer review diterima ke dalam repositori GhostScript pada 9 September.
Seperti yang saya sebutkan sebelumnya, karena eksploitasi telah "di alam liar" setidaknya selama 6 bulan, saya telah mengirimkan tambalan ke repositori publik kami; merahasiakan tambalan dalam keadaan ini sepertinya tidak berguna.
Saya akan mengumumkan bug ini sebelum penutupan bisnis (Inggris Raya) pada hari Jumat, sekali lagi, kecuali ada argumen yang kuat dan meyakinkan untuk tidak melakukannya (Anda masih dapat menautkannya, menjadikannya publik tidak akan mengubah URL).
Masalahnya adalah karena kemampuan untuk mem-bypass mode isolasi "-dSAFER" karena validasi yang tidak memadai dari parameter perangkat PostScript "% pipe%", yang memungkinkan untuk mengeksekusi perintah shell arbitrer.
Misalnya, untuk menjalankan utilitas identifikasi pada dokumen, Anda hanya perlu menentukan string "(% pipe% / tmp / & id) (w) file" atau "(% pipe% / tmp /; id) (r) berkas ».
Sebagai pengingat, kerentanan dalam Ghostscript lebih serius, karena paket ini digunakan di banyak aplikasi populer untuk memproses format PostScript dan PDF. Misalnya, Ghostscript dipanggil saat membuat thumbnail di desktop, saat mengindeks data di latar belakang, dan saat mengonversi gambar. Untuk serangan yang berhasil, dalam banyak kasus, cukup mengunduh file exploit atau menelusuri direktori dengannya di pengelola file yang mendukung tampilan thumbnail dokumen, misalnya di Nautilus.
Kerentanan di Ghostscript juga dapat dieksploitasi melalui pengontrol gambar berdasarkan paket ImageMagick dan GraphicsMagick, meneruskan file JPEG atau PNG, yang berisi kode PostScript alih-alih gambar (file ini akan diproses dalam Ghostscript, karena tipe MIME dikenali oleh konten, dan tanpa bergantung pada ekstensi).
Sebagai solusi untuk melindungi dari eksploitasi kerentanan melalui pembuat thumbnail otomatis di GNOME dan ImageMagick, disarankan untuk menonaktifkan panggilan evince-thumbnailer di /usr/share/thumbnailers/evince.thumbnailer dan menonaktifkan rendering PS, EPS, PDF dan format XPS di ImageMagick,
Akhirnya disebutkan bahwa di banyak distribusi masalahnya masih belum diperbaiki (Status rilis update bisa dilihat di halaman Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).
Disebutkan juga bahwa rilis GhostScript dengan penghapusan kerentanan dijadwalkan akan diterbitkan sebelum akhir bulan. Mau tau lebih lengkapnya, bisa cek detailnya di link berikut.