Ata gjetën një dobësi në Ghostscript që u shfrytëzua përmes ImageMagick

Kohët e fundit lajmi dha se identifikoi një dobësi kritike (e cila tashmë është kataloguar si CVE-2021-3781) në Ghostscript (një grup mjetesh për përpunimin, konvertimin dhe gjenerimin e dokumenteve në formatet PostScript dhe PDF) që lejon ekzekutimin e kodit arbitrar kur përpunoni një skedar të formatuar posaçërisht.

Fillimisht, Emil Lerner vuri në dukje se kishte një problem dhe i cili ishte gjithashtu ai që foli për dobësinë më 25 gushtose në konferencën e fundit të Shën Petersburgut ZeroNights X (Në raport ai tregoi sesi Emile në kuadër të bug bounty program të përdorte cenueshmërinë për të marrë shpërblime për sulmet demonstruese në shërbimet AirBNB, Dropbox dhe Yandex.Realty).

Më 5 shtator, u shfaq një shfrytëzim funksional domain publik që lejon sulmimin e sistemeve Ubuntu 20.04 duke transferuar një skenar në internet që funksionon në server duke përdorur paketën php-imagemagick, një dokument i krijuar posaçërisht i ngarkuar nën maskën e një imazhi.

Ne kemi një zgjidhje në testimin tani.

Meqenëse ky shfrytëzim me sa duket ka qarkulluar që nga marsi dhe është plotësisht publik që të paktën më 25 gusht (aq shumë për zbulimin e përgjegjshëm!), Unë jam i prirur ta postoj rregullimin publikisht sapo të kemi përfunduar testimin dhe rishikimin.

Edhe pse nga ana tjetër, përmendet gjithashtu se sipas të dhënave paraprake, një shfrytëzim i tillë është përdorur që nga marsi dhe u njoftua se mund të sulmojë sistemet që funksionojnë GhostScript 9.50, por është zbuluar se dobësia ka vazhduar në të gjitha versionet e mëvonshme të GhostScript, përfshirë versionin e zhvillimit të Git 9.55.

Më vonë u propozua një korrigjim më 8 shtator dhe pas shqyrtimit nga kolegët u pranua në depon e GhostScript më 9 shtator.

Siç e përmenda më herët, meqenëse shfrytëzimi ka qenë "në natyrë" për të paktën 6 muaj, unë tashmë e kam dorëzuar arnimin në depon tonë publike; mbajtja e një arke një sekret në këtë rrethanë dukej e padobishme.

Unë do ta bëj këtë gabim publik para mbylljes së biznesit (MB) të Premten, përsëri, përveç nëse ka argumente të forta dhe bindëse për të mos e bërë këtë (ju ende mund të lidheni me të, bërja publike e tij nuk do të ndryshojë URL -në).

Problemi është për shkak të aftësisë për të anashkaluar mënyrën e izolimit "-dSAFER" për shkak të vlefshmërisë së pamjaftueshme të parametrave të pajisjes PostScript "% tub%", e cila lejoi ekzekutimin e komandave arbitrare shell.

Për shembull, për të ekzekutuar mjetin identifikues në një dokument, ju duhet vetëm të specifikoni vargun "(% pipe% / tmp / & id) (w) skedar" ose "(% pipe% / tmp /; id) (r) skedar ».

Si një kujtesë, dobësitë në Ghostscript janë më serioze, pasi kjo paketë përdoret në shumë aplikacione popullor për përpunimin e formateve PostScript dhe PDF. Për shembull, Ghostscript thirret kur krijoni figura të vogla në desktop, kur indeksoni të dhënat në sfond dhe kur konvertoni imazhe. Për një sulm të suksesshëm, në shumë raste, mjafton të shkarkoni skedarin e shfrytëzuar ose të shfletoni drejtorinë me të në një menaxher skedarësh që mbështet shfaqjen e fotografive të dokumenteve, për shembull në Nautilus.

Dobësitë në Ghostscript gjithashtu mund të shfrytëzohen përmes kontrolluesve të imazhit bazuar në paketat ImageMagick dhe GraphicsMagick, duke kaluar një skedar JPEG ose PNG, i cili përmban kodin PostScript në vend të një imazhi (ky skedar do të përpunohet në Ghostscript, pasi lloji MIME njihet nga përmbajtja, dhe pa u varur nga shtrirja).

Si një zgjidhje për të mbrojtur kundër shfrytëzimit të cenueshmërisë përmes gjeneruesit automatik të fotografive në GNOME dhe ImageMagick, rekomandohet të çaktivizoni thirrjen evince-thumbnailer në /usr/share/thumbnailers/evince.thumbnailer dhe të çaktivizoni interpretimin e PS, EPS, PDF dhe formatet XPS në ImageMagick,

Më në fund Përmendet se në shumë shpërndarje problemi ende nuk është rregulluar (statusi i lëshimit të azhurnimeve mund të shihet në faqet e Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).

Përmendet gjithashtu se lëshimi i GhostScript me eliminimin e dobësisë është planifikuar të publikohet para fundit të muajit. Nëse doni të dini më shumë rreth saj, mund t'i kontrolloni detajet në lidhja vijuese.


Bëhu i pari që komenton

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.