Znaleźli lukę w Ghostscript, która została wykorzystana przez ImageMagick

Niedawno pojawiły się wiadomości zidentyfikował krytyczną lukę (który jest już skatalogowany jako CVE-2021-3781) w Ghostscript (zestaw narzędzi do przetwarzania, konwersji i generowania dokumentów w formatach PostScript i PDF), które pozwala na wykonanie dowolnego kodu podczas przetwarzania specjalnie sformatowanego pliku.

Początkowo, Emil Lerner zwrócił uwagę, że jest problem i który był również tym, który mówił o bezbronności 25 sierpnialub na ostatniej petersburskiej konferencji ZeroNights X (W raporcie pokazał, w jaki sposób Emile w ramach programu bug bounty wykorzystuje lukę, aby zdobyć nagrody za demonstracyjne ataki na usługi AirBNB, Dropbox i Yandex.Realty).

5 września pojawił się funkcjonalny exploit domena publiczna, która umożliwia atakowanie systemów Ubuntu 20.04 poprzez przesyłanie skryptu internetowego działającego na serwerze za pomocą pakietu php-imagemagick, specjalnie spreparowanego dokumentu ładowanego pod przykrywką obrazu.

Mamy rozwiązanie w fazie testów.

Ponieważ ten exploit najwyraźniej krąży od marca i jest w pełni publiczny od co najmniej 25 sierpnia (to tyle za odpowiedzialne ujawnienie!), jestem skłonny opublikować poprawkę, gdy tylko zakończymy testy i przegląd.

Chociaż z drugiej strony wspomina się również, że według wstępnych danych, taki exploit był używany od marca i ogłoszono, że potrafi atakować systemy z GhostScriptem 9.50, ale ujawniono, że luka ta występowała we wszystkich kolejnych wersjach GhostScript, w tym w wersji rozwojowej Git 9.55.

Korekta została następnie zaproponowana 8 września a po recenzowaniu został zaakceptowany do repozytorium GhostScript 9 września.

Jak wspomniałem wcześniej, ponieważ exploit był „na wolności” od co najmniej 6 miesięcy, przesłałem już łatkę do naszego publicznego repozytorium; utrzymywanie łaty w tajemnicy w tej sytuacji wydawało się bezużyteczne.

Ponownie opublikuję ten błąd przed zamknięciem (Wielka Brytania) w piątek, chyba że istnieją mocne i przekonujące argumenty, aby tego nie robić (nadal możesz do niego link, upublicznienie nie zmieni adresu URL).

Problem wynika z możliwości ominięcia trybu izolacji „-dSAFER” z powodu niewystarczającej walidacji parametrów urządzenia PostScript "% pipe%", co pozwalało na wykonanie dowolnych poleceń powłoki.

Na przykład, aby uruchomić narzędzie do identyfikacji na dokumencie, wystarczy określić ciąg „(% pipe% / tmp / & id) (w) file” lub „(% pipe% / tmp /; id) (r) plik ».

Jako przypomnienie, luki w Ghostscript są poważniejsze, ponieważ ten pakiet jest używany w wielu aplikacjach popularny do przetwarzania formatów PostScript i PDF. Na przykład Ghostscript jest wywoływany podczas tworzenia miniatur na pulpicie, podczas indeksowania danych w tle oraz podczas konwertowania obrazów. Do udanego ataku w wielu przypadkach wystarczy pobranie pliku exploita lub przejrzenie katalogu z nim w menedżerze plików obsługującym wyświetlanie miniatur dokumentów, np. w Nautilusie.

Luki w Ghostscript może być również wykorzystany przez kontrolery obrazu w oparciu o pakiety ImageMagick i GraphicsMagick, przekazując plik JPEG lub PNG, który zawiera kod PostScript zamiast obrazu (ten plik zostanie przetworzony w Ghostscript, ponieważ typ MIME jest rozpoznawany przez zawartość i niezależnie od rozszerzenia).

Jako obejście w celu ochrony przed wykorzystaniem luki w zabezpieczeniach przez automatyczny generator miniatur w GNOME i ImageMagick, zaleca się wyłączenie wywołania evince-thumbnailer w /usr/share/thumbnailers/evince.thumbnailer i wyłączenie renderowania PS, EPS, PDF i XPS w ImageMagick,

W końcu Wspomniano, że w wielu dystrybucjach problem nadal nie został rozwiązany (status wydania aktualizacji można zobaczyć na stronach Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).

Wspomina się również, że wydanie GhostScriptu z eliminacją luki ma zostać opublikowane przed końcem miesiąca. Jeśli chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły w następujący link.


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.