Недавно стало известно, что выявил критическую уязвимость (который уже внесен в каталог как CVE-2021-3781) в Ghostscript (набор инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF), позволяет выполнять произвольный код при обработке специально отформатированного файла.
на начальном этапе, Эмиль Лернер указал на проблему и кто также говорил об уязвимости 25 августаили на последней конференции ZeroNights X в Санкт-Петербурге (В отчете показано, как Эмиль в рамках программы bug bounty использовал уязвимость для получения вознаграждения за демонстрационные атаки на сервисы AirBNB, Dropbox и Яндекс.Реалти).
Вот слайды моего выступления на ZeroNights X! 0-день для GhostScript 9.50, цепочка эксплойтов RCE для ImageMagick с настройками по умолчанию из репозиториев Ubuntu и несколькими историями о багах внутри https://t.co/7JHotVa5DQ
- Эмиль Лернер (@emil_lerner) 25 августа 2021
5 сентября появился функциональный эксплойт общественное достояние, которое позволяет атаковать системы Ubuntu 20.04 путем передачи веб-скрипта, который запускается на сервере с использованием пакета php-imagemagick, специально созданного документа, загружаемого под видом изображения.
У нас есть решение в тестировании прямо сейчас.
Поскольку этот эксплойт, по-видимому, распространяется с марта и является полностью общедоступным по крайней мере с 25 августа (столько для ответственного раскрытия!), Я склонен опубликовать исправление публично, как только мы завершим тестирование и обзор.
Хотя, с другой стороны, также упоминается, что по предварительным данным, такой эксплойт используется с марта и стало известно, что может атаковать системы, работающие под управлением GhostScript 9.50, но было обнаружено, что уязвимость сохранялась во всех последующих версиях GhostScript, включая версию разработки Git 9.55.
Впоследствии 8 сентября было предложено исправление. и после экспертной оценки он был принят в репозиторий GhostScript 9 сентября.
Как я уже упоминал ранее, поскольку эксплойт был «в дикой природе» не менее 6 месяцев, я уже отправил патч в наш общедоступный репозиторий; Хранить пластырь в секрете в таких обстоятельствах казалось бесполезным.
Я снова опубликую эту ошибку перед закрытием рабочего дня (Великобритания) в пятницу, если не будет веских и убедительных аргументов не делать этого (вы все равно можете ссылаться на нее, публикация не приведет к изменению URL-адреса).
Проблема связана с возможностью обхода режима изоляции "-dSAFER" из-за недостаточной проверки параметров устройства PostScript "% pipe%", что позволяло выполнять произвольные команды оболочки.
Например, чтобы запустить утилиту идентификации для документа, вам нужно всего лишь указать строку «(% pipe% / tmp / & id) (w) file» или «(% pipe% / tmp /; id) (r) файл ».
Как напоминание, уязвимости в Ghostscript более серьезны, так как этот пакет используется во многих приложениях популярны для обработки форматов PostScript и PDF. Например, Ghostscript вызывается при создании эскизов на рабочем столе, при индексировании данных в фоновом режиме и при преобразовании изображений. Для успешной атаки во многих случаях достаточно загрузить файл эксплойта или просмотреть каталог с ним в файловом менеджере, который поддерживает отображение эскизов документов, например, в Nautilus.
Уязвимости в Ghostscript также может использоваться через контроллеры изображений на основе пакетов ImageMagick и GraphicsMagick, передавая файл JPEG или PNG, который содержит код PostScript вместо изображения (этот файл будет обрабатываться в Ghostscript, поскольку тип MIME распознается содержимым и не зависит от расширения).
В качестве обходного пути для защиты от эксплуатации уязвимости с помощью автоматического генератора эскизов в GNOME и ImageMagick рекомендуется отключить вызов evince-thumbnailer в /usr/share/thumbnailers/evince.thumbnailer и отключить рендеринг PS, EPS, PDF и форматы XPS в ImageMagick,
В конце концов упоминается, что во многих дистрибутивах проблема до сих пор не исправлена (Статус выхода обновлений можно увидеть на страницах Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).
Также упоминается, что релиз GhostScript с устранением уязвимости планируется опубликовать до конца месяца. Если вы хотите узнать об этом больше, вы можете проверить подробности в по следующей ссылке.