Niedawno pojawiły się wiadomości zidentyfikował krytyczną lukę (który jest już skatalogowany jako CVE-2021-3781) w Ghostscript (zestaw narzędzi do przetwarzania, konwersji i generowania dokumentów w formatach PostScript i PDF), które pozwala na wykonanie dowolnego kodu podczas przetwarzania specjalnie sformatowanego pliku.
Początkowo, Emil Lerner zwrócił uwagę, że jest problem i który był również tym, który mówił o bezbronności 25 sierpnialub na ostatniej petersburskiej konferencji ZeroNights X (W raporcie pokazał, w jaki sposób Emile w ramach programu bug bounty wykorzystuje lukę, aby zdobyć nagrody za demonstracyjne ataki na usługi AirBNB, Dropbox i Yandex.Realty).
Oto slajdy z mojego wystąpienia w ZeroNights X! 0-dniowy łańcuch exploitów GhostScript 9.50, RCE dla ImageMagick z domyślnymi ustawieniami z repozytoriów Ubuntu i kilkoma opowieściami o nagrodach za błędy w środku https://t.co/7JHotVa5DQ
- Emil Lerner (@emil_lerner) 25 sierpnia 2021 r.
5 września pojawił się funkcjonalny exploit domena publiczna, która umożliwia atakowanie systemów Ubuntu 20.04 poprzez przesyłanie skryptu internetowego działającego na serwerze za pomocą pakietu php-imagemagick, specjalnie spreparowanego dokumentu ładowanego pod przykrywką obrazu.
Mamy rozwiązanie w fazie testów.
Ponieważ ten exploit najwyraźniej krąży od marca i jest w pełni publiczny od co najmniej 25 sierpnia (to tyle za odpowiedzialne ujawnienie!), jestem skłonny opublikować poprawkę, gdy tylko zakończymy testy i przegląd.
Chociaż z drugiej strony wspomina się również, że według wstępnych danych, taki exploit był używany od marca i ogłoszono, że potrafi atakować systemy z GhostScriptem 9.50, ale ujawniono, że luka ta występowała we wszystkich kolejnych wersjach GhostScript, w tym w wersji rozwojowej Git 9.55.
Korekta została następnie zaproponowana 8 września a po recenzowaniu został zaakceptowany do repozytorium GhostScript 9 września.
Jak wspomniałem wcześniej, ponieważ exploit był „na wolności” od co najmniej 6 miesięcy, przesłałem już łatkę do naszego publicznego repozytorium; utrzymywanie łaty w tajemnicy w tej sytuacji wydawało się bezużyteczne.
Ponownie opublikuję ten błąd przed zamknięciem (Wielka Brytania) w piątek, chyba że istnieją mocne i przekonujące argumenty, aby tego nie robić (nadal możesz do niego link, upublicznienie nie zmieni adresu URL).
Problem wynika z możliwości ominięcia trybu izolacji „-dSAFER” z powodu niewystarczającej walidacji parametrów urządzenia PostScript "% pipe%", co pozwalało na wykonanie dowolnych poleceń powłoki.
Na przykład, aby uruchomić narzędzie do identyfikacji na dokumencie, wystarczy określić ciąg „(% pipe% / tmp / & id) (w) file” lub „(% pipe% / tmp /; id) (r) plik ».
Jako przypomnienie, luki w Ghostscript są poważniejsze, ponieważ ten pakiet jest używany w wielu aplikacjach popularny do przetwarzania formatów PostScript i PDF. Na przykład Ghostscript jest wywoływany podczas tworzenia miniatur na pulpicie, podczas indeksowania danych w tle oraz podczas konwertowania obrazów. Do udanego ataku w wielu przypadkach wystarczy pobranie pliku exploita lub przejrzenie katalogu z nim w menedżerze plików obsługującym wyświetlanie miniatur dokumentów, np. w Nautilusie.
Luki w Ghostscript może być również wykorzystany przez kontrolery obrazu w oparciu o pakiety ImageMagick i GraphicsMagick, przekazując plik JPEG lub PNG, który zawiera kod PostScript zamiast obrazu (ten plik zostanie przetworzony w Ghostscript, ponieważ typ MIME jest rozpoznawany przez zawartość i niezależnie od rozszerzenia).
Jako obejście w celu ochrony przed wykorzystaniem luki w zabezpieczeniach przez automatyczny generator miniatur w GNOME i ImageMagick, zaleca się wyłączenie wywołania evince-thumbnailer w /usr/share/thumbnailers/evince.thumbnailer i wyłączenie renderowania PS, EPS, PDF i XPS w ImageMagick,
W końcu Wspomniano, że w wielu dystrybucjach problem nadal nie został rozwiązany (status wydania aktualizacji można zobaczyć na stronach Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).
Wspomina się również, że wydanie GhostScriptu z eliminacją luki ma zostać opublikowane przed końcem miesiąca. Jeśli chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły w następujący link.