ล่าสุดมีข่าวดังกล่าว ระบุจุดอ่อนที่สำคัญ (ซึ่งได้จัดหมวดหมู่ไว้แล้วเป็น CVE-2021-3781) ใน Ghostscript (ชุดเครื่องมือสำหรับการประมวลผล การแปลง และสร้างเอกสารในรูปแบบ PostScript และ PDF) ที่ อนุญาตให้รันโค้ดโดยพลการ เมื่อประมวลผลไฟล์ที่มีรูปแบบพิเศษ
ในขั้นต้น Emil Lerner ชี้ให้เห็นว่ามีปัญหาและ ที่เป็นคนพูดเรื่องความเปราะบางเมื่อวันที่ 25 ส.ค.หรือในการประชุมครั้งสุดท้ายของ ZeroNights X ที่เซนต์ปีเตอร์สเบิร์ก (ในรายงานแสดงให้เห็นว่า Emile ภายในโปรแกรม Bug Bounty ใช้ช่องโหว่เพื่อรับรางวัลจากการสาธิตการโจมตีในบริการ AirBNB, Dropbox และ Yandex.Realty)
นี่คือสไลด์จากการพูดคุยของฉันที่ ZeroNights X! 0 วันสำหรับ GhostScript 9.50, RCE ใช้ประโยชน์จากห่วงโซ่สำหรับ ImageMagick ด้วยการตั้งค่าเริ่มต้นจาก repos ของ Ubuntu และเรื่องราวเกี่ยวกับข้อผิดพลาดมากมายภายใน https://t.co/7JHotVa5DQ
- เอมิล เลอร์เนอร์ (@emil_lerner) สิงหาคม 25, 2021
เมื่อวันที่ 5 กันยายน เกิดการใช้ประโยชน์จากการทำงาน สาธารณสมบัติที่อนุญาตให้โจมตีระบบ Ubuntu 20.04 โดยการถ่ายโอนสคริปต์เว็บที่ทำงานบนเซิร์ฟเวอร์โดยใช้แพ็คเกจ php-imagemagick ซึ่งเป็นเอกสารที่สร้างขึ้นเป็นพิเศษซึ่งโหลดไว้ภายใต้หน้ากาก
เรามีวิธีแก้ปัญหาในการทดสอบในขณะนี้
เนื่องจากเห็นได้ชัดว่าการหาประโยชน์นี้แพร่กระจายตั้งแต่เดือนมีนาคมและเป็นสาธารณะโดยสมบูรณ์ตั้งแต่อย่างน้อย 25 สิงหาคม (มากสำหรับการเปิดเผยอย่างรับผิดชอบ!) ฉันจึงมีแนวโน้มที่จะโพสต์การแก้ไขต่อสาธารณะทันทีที่เราเสร็จสิ้นการทดสอบและตรวจสอบ
แม้จะกล่าวอีกนัยหนึ่งว่าตามข้อมูลเบื้องต้น มีการใช้ช่องโหว่ดังกล่าวตั้งแต่เดือนมีนาคม และได้ประกาศว่า สามารถโจมตีระบบที่ใช้ GhostScript 9.50, แต่มีการเปิดเผยว่าช่องโหว่ดังกล่าวยังคงดำเนินต่อไปใน GhostScript เวอร์ชันถัดๆ ไปทั้งหมด รวมถึงการพัฒนา Git เวอร์ชัน 9.55
ต่อมาได้มีการเสนอการแก้ไขในวันที่ 8 กันยายน และหลังจากการตรวจสอบโดยเพื่อน ก็ได้รับการยอมรับในที่เก็บ GhostScript เมื่อวันที่ 9 กันยายน
ดังที่ได้กล่าวไว้ก่อนหน้านี้ เนื่องจากการหาประโยชน์ดังกล่าว "อยู่ในป่า" เป็นเวลาอย่างน้อย 6 เดือน ฉันได้ส่งแพตช์ดังกล่าวไปยังพื้นที่เก็บข้อมูลสาธารณะของเราแล้ว การรักษาความลับในสถานการณ์นี้ดูเหมือนไร้ประโยชน์
ฉันจะเผยแพร่จุดบกพร่องนี้เป็นสาธารณะก่อนปิดทำการ (สหราชอาณาจักร) ในวันศุกร์นี้ เว้นแต่จะมีข้อโต้แย้งที่หนักแน่นและน่าสนใจที่จะไม่ทำเช่นนั้น (คุณยังสามารถลิงก์ไปยังจุดบกพร่องได้ การทำให้เป็นสาธารณะจะไม่เปลี่ยน URL)
ปัญหาเกิดจากความสามารถในการข้ามโหมดการแยก "-dSAFER" เนื่องจากการตรวจสอบพารามิเตอร์อุปกรณ์ PostScript ไม่เพียงพอ "% pipe%" ซึ่งอนุญาตให้ดำเนินการคำสั่งเชลล์โดยพลการ
ตัวอย่างเช่น ในการรันยูทิลิตีการระบุตัวตนบนเอกสาร คุณจะต้องระบุสตริง "(% pipe% / tmp / & id) (w) file" หรือ "(% pipe% / tmp /; id) (r) ไฟล์ ».
เหมือนเป็นการเตือนความจำ, ช่องโหว่ใน Ghostscript นั้นร้ายแรงกว่า เนื่องจากมีการใช้งานแพ็คเกจนี้ในหลาย ๆ แอพพลิเคชั่น เป็นที่นิยมสำหรับการประมวลผลรูปแบบ PostScript และ PDF ตัวอย่างเช่น Ghostscript จะถูกเรียกเมื่อสร้างภาพขนาดย่อบนเดสก์ท็อป เมื่อสร้างดัชนีข้อมูลในพื้นหลัง และเมื่อทำการแปลงภาพ สำหรับการโจมตีที่ประสบความสำเร็จ ในหลายกรณี การดาวน์โหลดไฟล์ Exploit หรือเรียกดูไดเร็กทอรีด้วยไฟล์ดังกล่าวก็เพียงพอแล้วในตัวจัดการไฟล์ที่รองรับการแสดงภาพขนาดย่อของเอกสาร เช่น ใน Nautilus
ช่องโหว่ใน Ghostscript ยังสามารถใช้ประโยชน์ได้ผ่านตัวควบคุมภาพ ตามแพ็คเกจ ImageMagick และ GraphicsMagick โดยส่งไฟล์ JPEG หรือ PNG ซึ่งมีรหัส PostScript แทนรูปภาพ (ไฟล์นี้จะได้รับการประมวลผลใน Ghostscript เนื่องจากเนื้อหารู้จักประเภท MIME และไม่ขึ้นอยู่กับส่วนขยาย)
เพื่อเป็นการแก้ปัญหาชั่วคราวเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ผ่านเครื่องมือสร้างภาพขนาดย่ออัตโนมัติใน GNOME และ ImageMagick ขอแนะนำให้ปิดใช้งานการเรียก evince-thumbnailer ใน /usr/share/thumbnailers/evince.thumbnailer และปิดใช้งานการเรนเดอร์ PS, EPS, PDF และรูปแบบ XPS ใน ImageMagick
ในที่สุด มีการกล่าวไว้ว่าในหลาย ๆ การแจกแจงปัญหายังไม่ได้รับการแก้ไข (สถานะการอัปเดตสามารถดูได้ที่หน้าของ debian, อูบุนตู, Fedora, SUSE, RHEL, Arch ลินุกซ์, FreeBSD, NetBSD).
นอกจากนี้ยังมีการกล่าวถึงว่าการเปิดตัว GhostScript พร้อมการกำจัดช่องโหว่นั้นมีกำหนดจะเผยแพร่ก่อนสิ้นเดือน หากต้องการทราบข้อมูลเพิ่มเติม สามารถตรวจสอบรายละเอียดได้ใน ลิงค์ต่อไปนี้