Dat maakte onlangs het nieuws bekend een kritieke kwetsbaarheid geïdentificeerd (die al is gecatalogiseerd als CVE-2021-3781) in Ghostscript (een set tools voor het verwerken, converteren en genereren van documenten in PostScript- en PDF-formaten) die: maakt het mogelijk om willekeurige code uit te voeren bij het verwerken van een speciaal opgemaakt bestand.
in eerste instantie, Emil Lerner wees erop dat er een probleem was en wie was ook degene die op 25 augustus over kwetsbaarheid sprakof op de laatste Sint-Petersburg ZeroNights X-conferentie (In het rapport bleek hoe Emile binnen het bug bounty-programma de kwetsbaarheid gebruikt om beloningen te krijgen voor demonstratieaanvallen op AirBNB, Dropbox en Yandex.Realty-diensten).
Hier zijn dia's van mijn lezing op ZeroNights X! Een 0-dag voor GhostScript 9.50, RCE-exploitketen voor ImageMagick met de standaardinstellingen van Ubuntu-repo's en verschillende bug bounty-verhalen erin https://t.co/7JHotVa5DQ
- Emil Lerner (@emil_lerner) 25 Augustus 2021
Op 5 september verscheen een functionele exploit publiek domein dat het mogelijk maakt om Ubuntu 20.04-systemen aan te vallen door een webscript over te dragen dat op de server wordt uitgevoerd met behulp van het php-imagemagick-pakket, een speciaal vervaardigd document dat onder het mom van een afbeelding wordt geladen.
We hebben nu een oplossing in het testen.
Aangezien deze exploit blijkbaar al sinds maart in omloop is en sinds ten minste 25 augustus volledig openbaar is (tot zover de verantwoorde openbaarmaking!), ben ik geneigd de fix openbaar te plaatsen zodra we het testen en beoordelen hebben voltooid.
Hoewel aan de andere kant ook wordt vermeld dat volgens voorlopige gegevens, zo'n exploit wordt sinds maart gebruikt en het werd bekend dat kan systemen met GhostScript 9.50 aanvallen, maar het is gebleken dat het beveiligingslek zich heeft voorgedaan in alle volgende versies van GhostScript, inclusief Git-ontwikkelingsversie 9.55.
Vervolgens werd op 8 september een correctie voorgesteld en na peer review werd het op 9 september geaccepteerd in de GhostScript-repository.
Zoals ik eerder al zei, aangezien de exploit al minstens 6 maanden "in het wild" is, heb ik de patch al naar onze openbare repository verzonden; het geheim houden van de patch in deze omstandigheden leek nutteloos.
Ik zal deze bug opnieuw openbaar maken voor sluitingstijd (VK) op vrijdag, tenzij er sterke en overtuigende argumenten zijn om dit niet te doen (je kunt er nog steeds naar linken, openbaar maken zal de URL niet veranderen).
Het probleem is te wijten aan de mogelijkheid om de isolatiemodus "-dSAFER" te omzeilen vanwege onvoldoende validatie van de PostScript-apparaatparameters "% pipe%", waarmee willekeurige shell-commando's konden worden uitgevoerd.
Als u bijvoorbeeld het identificatiehulpprogramma op een document wilt uitvoeren, hoeft u alleen de tekenreeks "(% pipe% / tmp / & id) (w) file" of "(% pipe% / tmp /; id) (r) op te geven bestand ».
Als een herinnering, de kwetsbaarheden in Ghostscript zijn ernstiger, aangezien dit pakket in veel toepassingen wordt gebruikt populair voor het verwerken van PostScript- en PDF-formaten. Ghostscript wordt bijvoorbeeld aangeroepen bij het maken van miniaturen op het bureaublad, bij het indexeren van gegevens op de achtergrond en bij het converteren van afbeeldingen. Voor een succesvolle aanval is het in veel gevallen voldoende om het exploitbestand te downloaden of ermee door de map te navigeren in een bestandsbeheerder die de weergave van documentminiaturen ondersteunt, bijvoorbeeld in Nautilus.
Kwetsbaarheden in Ghostscript kan ook worden misbruikt via beeldcontrollers gebaseerd op de pakketten ImageMagick en GraphicsMagick, waarbij een JPEG- of PNG-bestand wordt doorgegeven dat PostScript-code bevat in plaats van een afbeelding (dit bestand wordt verwerkt in Ghostscript, aangezien het MIME-type wordt herkend door de inhoud, en zonder afhankelijk van de extensie).
Als tijdelijke oplossing om te beschermen tegen misbruik van de kwetsbaarheid via de automatische miniatuurgenerator in GNOME en ImageMagick, wordt aanbevolen om de evince-thumbnailer-aanroep in /usr/share/thumbnailers/evince.thumbnailer uit te schakelen en de weergave van PS, EPS, PDF uit te schakelen en XPS-indelingen in ImageMagick,
Eindelijk er wordt vermeld dat in veel distributies het probleem nog steeds niet is opgelost (De status van de release van updates is te zien op de pagina's van Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).
Er wordt ook vermeld dat de release van GhostScript met de eliminatie van de kwetsbaarheid gepland staat voor het einde van de maand. Als u er meer over wilt weten, kunt u de details bekijken in de volgende link.