Viņi atrada Ghostscript ievainojamību, kas tika izmantota, izmantojot ImageMagick

Nesen šīs ziņas to uzzināja konstatēja kritisku ievainojamību (kas jau ir katalogizēts kā CVE-2021-3781) Ghostscript (rīku kopums dokumentu apstrādei, konvertēšanai un ģenerēšanai PostScript un PDF formātos), kas ļauj izpildīt patvaļīgu kodu apstrādājot speciāli formatētu failu.

Sākotnēji Emīls Lerners norādīja, ka pastāv problēma un kurš bija arī tas, kurš 25. augustā runāja par ievainojamībuvai pēdējā Sanktpēterburgas ZeroNights X konferencē (Ziņojumā viņš parādīja, kā Emile kļūdu atlīdzības programmā izmantoja ievainojamību, lai iegūtu atlīdzību par demonstrāciju uzbrukumiem AirBNB, Dropbox un Yandex.Realty pakalpojumiem).

5. septembrī parādījās funkcionāla izmantošana publiskais domēns, kas ļauj uzbrukt Ubuntu 20.04 sistēmām, pārsūtot tīmekļa skriptu, kas darbojas serverī, izmantojot pakotni php-imagemagick-speciāli izstrādātu dokumentu, kas ielādēts attēla aizsegā.

Pašlaik mums ir risinājums testēšanā.

Tā kā šī izmantošana acīmredzot ir izplatījusies kopš marta un ir pilnībā publiska kopš vismaz 25. augusta (tik daudz par atbildīgu izpaušanu!), Es sliecos publicēt labojumu publiski, tiklīdz būsim pabeiguši testēšanu un pārskatīšanu.

Lai gan, no otras puses, tiek minēts arī tas, ka pēc provizoriskiem datiem, šāda ekspluatācija tiek izmantota kopš marta un tika paziņots, ka var uzbrukt sistēmām, kurās darbojas GhostScript 9.50, bet ir atklāts, ka ievainojamība ir turpinājusies visās turpmākajās GhostScript versijās, ieskaitot Git izstrādes versiju 9.55.

Pēc tam 8. septembrī tika ierosināts veikt korekciju un pēc salīdzinošās pārskatīšanas tas tika pieņemts GhostScript krātuvē 9. septembrī.

Kā jau minēju iepriekš, tā kā ekspluatācija ir bijusi “savvaļā” vismaz 6 mēnešus, es jau esmu iesniedzis plāksteri mūsu publiskajā krātuvē; plākstera turēšana noslēpumā šajā gadījumā šķita bezjēdzīga.

Piektdien es atkal publiskošu šo kļūdu pirms darba beigām (Apvienotā Karaliste), ja vien nav spēcīgu un pārliecinošu argumentu to nedarīt (joprojām varat izveidot saiti uz to, padarot to publisku, URL nemainīsies).

Problēma ir saistīta ar spēju apiet izolācijas režīmu "-dSAFER" nepietiekamas PostScript ierīces parametru "% pipe%" validācijas dēļ, kas ļāva izpildīt patvaļīgas čaulas komandas.

Piemēram, lai dokumentā palaistu identifikācijas utilītu, jums jānorāda tikai virkne "(% pipe% / tmp / & id) (w) file" vai "(% pipe% / tmp /; id) (r) fails ».

Kā atgādinājums, Ghostscript ievainojamība ir nopietnāka, jo šī pakete tiek izmantota daudzās lietojumprogrammās populārs PostScript un PDF formātu apstrādei. Piemēram, Ghostscript tiek izsaukts, veidojot sīktēlus uz darbvirsmas, indeksējot datus fonā un konvertējot attēlus. Veiksmīgam uzbrukumam daudzos gadījumos ir pietiekami lejupielādēt izmantošanas failu vai pārlūkot direktoriju ar to failu pārvaldniekā, kas atbalsta dokumentu sīktēlu parādīšanu, piemēram, Nautilus.

Neaizsargātība Ghostscript var izmantot arī, izmantojot attēlu kontrolierus pamatojoties uz pakotnēm ImageMagick un GraphicsMagick, nododot JPEG vai PNG failu, kurā attēla vietā ir PostScript kods (šis fails tiks apstrādāts Ghostscript, jo saturs atpazīst MIME tipu un neatkarīgi no paplašinājuma).

Lai novērstu ievainojamības izmantošanu, izmantojot GNOME un ImageMagick automātisko sīktēlu ģeneratoru, ieteicams atspējot sīktēlu izsaukšanu /usr/share/thumbnailers/evince.thumbnailer un atspējot PS, EPS, PDF renderēšanu. un XPS formāti ImageMagick,

Beidzot Tiek minēts, ka daudzos izplatījumos problēma joprojām nav novērsta (atjauninājumu izlaišanas statusu var redzēt Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).

Tiek arī minēts, ka GhostScript izlaidumu līdz ar ievainojamības novēršanu plānots publicēt pirms mēneša beigām. Ja vēlaties uzzināt vairāk par to, varat pārbaudīt informāciju sadaļā šī saite.


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta.

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.