Neseniai žinia tai atskleidė nustatė kritinį pažeidžiamumą (kuris jau yra katalogizuotas kaip CVE-2021-3781) „Ghostscript“ (dokumentų rinkinio „PostScript“ ir PDF formatais apdorojimo, konvertavimo ir generavimo įrankių rinkinys) leidžia vykdyti savavališką kodą apdorojant specialiai suformatuotą failą.
Iš pradžių Emilis Lerneris nurodė, kad iškilo problema ir kuris taip pat kalbėjo apie pažeidžiamumą rugpjūčio 25 darba paskutinėje Sankt Peterburgo „ZeroNights X“ konferencijoje (Ataskaitoje buvo parodyta, kaip „Emile“ per klaidų gavimo programą panaudojo pažeidžiamumą, kad gautų atlygį už demonstracines atakas prieš „AirBNB“, „Dropbox“ ir „Yandex.Realty“ paslaugas).
Štai skaidrės iš mano pokalbio „ZeroNights X“! 0 dienų „GhostScript 9.50“, „RCE“ „ImageMagick“ išnaudojimo grandinė su numatytais „Ubuntu“ repos nustatymais ir keliomis klaidomis https://t.co/7JHotVa5DQ
- Emilis Lerneris (@emil_lerner) Rugpjūtis 25, 2021
Rugsėjo 5 dieną pasirodė funkcinis išnaudojimas viešasis domenas, leidžiantis atakuoti „Ubuntu 20.04“ sistemas, perkeliant žiniatinklio scenarijų, kuris veikia serveryje, naudojant „php-imagemagick“ paketą-specialiai sukurtą dokumentą, įkeliamą prisidengiant vaizdu.
Bandymų metu turime sprendimą.
Kadangi šis išnaudojimas, matyt, buvo platinamas nuo kovo mėnesio ir yra visiškai viešas bent jau nuo rugpjūčio 25 d. (Tiek daug už atsakingą atskleidimą!), Esu linkęs paskelbti taisymą viešai, kai tik baigsime testavimą ir peržiūrą.
Nors, kita vertus, taip pat minima, kad pirminiais duomenimis, XNUMX m. toks išnaudojimas naudojamas nuo kovo ir buvo paskelbta, kad gali užpulti sistemas, kuriose veikia „GhostScript 9.50“, tačiau buvo atskleista, kad pažeidžiamumas tęsėsi visose vėlesnėse „GhostScript“ versijose, įskaitant „Git“ 9.55 versiją.
Vėliau rugsėjo 8 d ir po tarpusavio vertinimo jis buvo priimtas į „GhostScript“ saugyklą rugsėjo 9 d.
Kaip jau minėjau anksčiau, kadangi išnaudojimas buvo „gamtoje“ mažiausiai 6 mėnesius, aš jau pateikiau pleistrą mūsų viešai saugyklai; laikyti pleistrą paslaptyje tokiomis aplinkybėmis atrodė nenaudinga.
Penktadienį vėl paskelbsiu šią klaidą prieš verslo pabaigą (JK), nebent yra svarių ir įtikinamų argumentų to nedaryti (vis tiek galite su ja susieti nuorodą, paviešinę ją URL nepakeis).
Problema kyla dėl galimybės apeiti izoliacijos režimą „-dSAFER“ dėl nepakankamo „PostScript“ įrenginio parametrų „% pipe%“ patvirtinimo, kuris leido vykdyti savavališkas apvalkalo komandas.
Pavyzdžiui, norėdami dokumente paleisti identifikavimo priemonę, turite nurodyti tik eilutę "(% pipe% / tmp / & id) (w) file" arba "(% pipe% / tmp /; id) (r) failą ».
Kaip priminėjas, „Ghostscript“ pažeidžiamumai yra rimtesni, nes šis paketas naudojamas daugelyje programų populiarus apdorojant „PostScript“ ir PDF formatus. Pavyzdžiui, „Ghostscript“ iškviečiamas kuriant miniatiūras darbalaukyje, indeksuojant duomenis fone ir konvertuojant vaizdus. Sėkmingam išpuoliui daugeliu atvejų pakanka atsisiųsti išnaudojimo failą arba su juo naršyti katalogą failų tvarkyklėje, palaikančioje dokumentų miniatiūrų rodymą, pavyzdžiui, „Nautilus“.
„Ghostscript“ pažeidžiamumai taip pat gali būti naudojamas per vaizdo valdiklius remiantis „ImageMagick“ ir „GraphicsMagick“ paketais, perduodami JPEG arba PNG failą, kuriame vietoj vaizdo yra „PostScript“ kodas (šis failas bus apdorotas „Ghostscript“, nes turinys atpažįsta MIME tipą ir nepriklausomai nuo plėtinio).
Norėdami apsisaugoti nuo pažeidžiamumo išnaudojimo naudojant automatinį miniatiūrų generatorių „GNOME“ ir „ImageMagick“, rekomenduojama išjungti „evince-thumbnailer“ skambutį /usr/share/thumbnailers/evince.thumbnailer ir išjungti PS, EPS, PDF atvaizdavimą ir XPS formatai „ImageMagick“,
Pagaliau Minėta, kad daugelyje paskirstymų problema vis dar nėra išspręsta (atnaujinimų išleidimo būseną galite pamatyti puslapiuose debian, ubuntu, Minkšta fetrinė skrybėlė, SUSA, RHEL, Arch Linux, FreeBSD, NetBSD).
Taip pat paminėta, kad „GhostScript“ leidimą pašalinus pažeidžiamumą planuojama paskelbti iki mėnesio pabaigos. Jei norite sužinoti daugiau apie tai, galite patikrinti išsamią informaciją sekanti nuoroda.