לאחרונה החדשות פרצו זאת זיהה פגיעות קריטית (שכבר מקוטלג כ- CVE-2021-3781) ב- Ghostscript (מערכת כלים לעיבוד, המרה וייצור מסמכים בפורמטי PostScript ו- PDF) ש מאפשר לבצע קוד שרירותי בעת עיבוד קובץ מעוצב במיוחד.
בתחילה, אמיל לרנר ציין כי יש בעיה ו שהוא גם זה שדיבר על פגיעות ב -25 באוגוסטאו בכנס האחרון של סנט פטרסבורג ZeroNights X (בדו"ח הראה כיצד אמיל בתוך תוכנית שפע באגים להשתמש בפגיעות כדי לקבל תגמולים על התקפות הפגנה על שירותי AirBNB, Dropbox ו- Yandex.Realty).
הנה שקופיות מהדיבור שלי ב- ZeroNights X! 0 ימים ל- GhostScript 9.50, שרשרת ניצול RCE ל- ImageMagick עם הגדרות ברירת המחדל ממאגרי אובונטו ומספר סיפורי שפע של באגים בפנים https://t.co/7JHotVa5DQ
- אמיל לרנר (@emil_lerner) אוגוסט
ב -5 בספטמבר הופיע ניצול פונקציונלי נחלת הכלל המאפשרת תקיפת מערכות אובונטו 20.04 על ידי העברת סקריפט אינטרנט הפועל בשרת באמצעות חבילת php-imagemagick, מסמך בעל מבנה מיוחד הנטען במסווה של תמונה.
יש לנו פתרון בבדיקות כרגע.
מכיוון שהניצול הזה כנראה מסתובב מאז מרץ והוא פומבי במלואו מאז לפחות 25 באוגוסט (עד כדי כך לגילוי אחראי!), אני נוטה לפרסם את התיקון בפומבי ברגע שסיימנו את הבדיקות והסקירה.
למרות שמצד שני, מוזכר גם כי על פי נתונים ראשוניים, ניצול כזה שימש מאז מרץ ונודע כי יכול לתקוף מערכות בהן פועל GhostScript 9.50, אך נחשף כי הפגיעות נמשכה בכל הגרסאות הבאות של GhostScript, כולל גירסת פיתוח Git 9.55.
לאחר מכן הוצע תיקון ב -8 בספטמבר ולאחר סקירת עמיתים הוא התקבל למאגר GhostScript ב- 9 בספטמבר.
כפי שציינתי קודם, מכיוון שהניצול היה "בטבע" במשך 6 חודשים לפחות, כבר הגשתי את התיקון למאגר הציבורי שלנו; שמירה על התיקון בסוד בנסיבות אלה נראתה חסרת תועלת.
אציג את הבאג הזה לציבור לפני סגירת העסק (בריטניה) ביום שישי, שוב, אלא אם יהיו טיעונים חזקים ומשכנעים לא לעשות זאת (אתה עדיין יכול לקשר אליו, והפיכתו לציבורי לא ישנה את כתובת האתר).
הבעיה נובעת מהיכולת לעקוף את מצב הבידוד "-dSAFER" בשל אימות מספיק של פרמטרי התקן PostScript "% pipe%", מה שאיפשר לבצע פקודות שרירה שרירותיות.
לדוגמה, כדי להפעיל את כלי הזיהוי במסמך, עליך רק לציין את המחרוזת "(% pipe% / tmp / & id) (w) file" או "(% pipe% / tmp /; id) (r) קובץ ».
כתזכורת, הפגיעות ב- Ghostscript חמורות יותר, מכיוון שחבילה זו משמשת ביישומים רבים פופולרי לעיבוד תבניות PostScript ו- PDF. לדוגמה, Ghostscript נקרא בעת יצירת תמונות ממוזערות על שולחן העבודה, בעת יצירת אינדקס נתונים ברקע, ובעת המרת תמונות. להתקפה מוצלחת, במקרים רבים, מספיק להוריד את קובץ הניצול או לגלוש איתו במדריך במנהל קבצים התומך בהצגת תמונות ממוזערות של מסמכים, למשל בנאוטילוס.
פגיעויות ב- Ghostscript ניתן לנצל גם באמצעות בקרי תמונות מבוסס על חבילות ImageMagick ו- GraphicsMagick, העברת קובץ JPEG או PNG, המכיל קוד PostScript במקום תמונה (קובץ זה יעובד ב- Ghostscript, שכן סוג ה- MIME מזוהה על ידי התוכן, וללא תלות בסיומת).
כפתרון להגנה מפני ניצול הפגיעות באמצעות מחולל התמונות הממוזערות האוטומטי ב- GNOME וב- ImageMagick, מומלץ להשבית את שיחת evince-thumbnailer ב- /usr/share/thumbnailers/evince.thumbnailer ולהשבית את העיבוד של PS, EPS, PDF ופורמטים של XPS ב- ImageMagick,
בסופו של דבר מוזכר כי בהפצות רבות הבעיה עדיין לא תוקנה (ניתן לראות את סטטוס שחרור העדכונים בדפי דביאן, אובונטו, פדורה, SUSE, רהל, Arch Linux, FreeBSD, NetBSD).
כמו כן מוזכר כי פרסום GhostScript עם חיסול הפגיעות אמור להתפרסם לפני סוף החודש. אם אתה רוצה לדעת יותר על זה, אתה יכול לבדוק את הפרטים ב הקישור הבא.