Kamakailan-lamang na ang balita ay sinira iyon nakilala ang isang kritikal na kahinaan (na naka-catalog na bilang CVE-2021-3781) sa Ghostscript (isang hanay ng mga tool para sa pagproseso, pag-convert at pagbuo ng mga dokumento sa mga format ng PostScript at PDF) na ay nagbibigay-daan upang magpatupad ng di-makatwirang code kapag pinoproseso ang isang espesyal na nai-format na file.
Sa una, Itinuro ni Emil Lerner na mayroong problema at na siya ring nagsalita tungkol sa kahinaan noong Agosto 25o sa huling kumperensya ng Saint Petersburg ZeroNights X (Sa ulat ay ipinakita kung paano Emile sa loob ng programa ng bug bounty upang magamit ang kahinaan upang makakuha ng mga gantimpala para sa mga pag-atake ng demonstrasyon sa AirBNB, Dropbox at Yandex. Mga serbisyong realty).
Narito ang mga slide mula sa aking usapan sa ZeroNights X! Isang 0-araw para sa GhostScript 9.50, sinasamantala ng RCE ang kadena para sa ImageMagick na may mga default na setting mula sa mga repos ng Ubuntu at maraming mga kwentong bug ng bug sa loob https://t.co/7JHotVa5DQ
- Emil Lerner (@emil_lerner) Agosto 25, 2021
Noong Setyembre 5, lumitaw ang isang exploit na ginagamit pampublikong domain na nagpapahintulot sa pag-atake sa mga sistema ng Ubuntu 20.04 sa pamamagitan ng paglilipat ng isang web script na tumatakbo sa server gamit ang php-imagemagick package, isang espesyal na ginawa na dokumento na na-load sa ilalim ng pagkukunwari ng isang imahe.
Mayroon kaming solusyon sa pagsubok ngayon.
Dahil ang pagsasamantala na ito ay tila nagpapalipat-lipat mula Marso at buong publiko mula noong hindi bababa sa Agosto 25 (labis para sa responsableng pagsisiwalat!), May hilig akong mai-post sa publiko ang pag-aayos sa sandaling natapos namin ang pagsubok at pagsusuri.
Bagaman sa kabilang banda, nabanggit din na ayon sa paunang data, ang ganitong pagsasamantala ay ginamit mula Marso at ito ay inihayag na maaaring pag-atake ng mga system na nagpapatakbo ng GhostScript 9.50, ngunit isiniwalat na ang kahinaan ay nagpatuloy sa lahat ng kasunod na mga bersyon ng GhostScript, kasama ang bersyon ng pag-unlad ng Git na 9.55.
Ang isang pagwawasto ay kasunod na iminungkahi noong Setyembre 8 at pagkatapos ng pagsusuri ng kapwa tinanggap ito sa repository ng GhostScript noong Setyembre 9.
Tulad ng nabanggit ko nang mas maaga, dahil ang pagsasamantala ay "nasa ligaw" nang hindi bababa sa 6 na buwan, naisumite ko na ang patch sa aming pampublikong imbakan; ang pagtatago ng sikreto sa patch sa ganitong pangyayari ay tila walang silbi.
Gagawin kong pampubliko ang bug na ito bago isara ang negosyo (UK) sa Biyernes, muli, maliban kung may malakas at nakakahimok na mga argumento na huwag gawin (maaari ka pa ring mag-link dito, kung gagawin itong pampubliko ay hindi babaguhin ang URL).
Ang problema ay dahil sa kakayahang i-bypass ang isolation mode na "-dSAFER" dahil sa hindi sapat na pagpapatunay ng mga parameter ng aparato ng PostScript na "% pipe%", na pinapayagan na magpatupad ng di-makatwirang mga utos ng shell.
Halimbawa, upang patakbuhin ang utility sa pagkakakilanlan sa isang dokumento, kailangan mo lamang tukuyin ang string na "(% pipe% / tmp / & id) (w) file" o "(% pipe% / tmp /; id) (r) file »
Bilang paalala, ang mga kahinaan sa Ghostscript ay mas seryoso, dahil ang package na ito ay ginagamit sa maraming mga application sikat para sa pagproseso ng mga format ng PostScript at PDF. Halimbawa, ang Ghostscript ay tinatawag kapag lumilikha ng mga thumbnail sa desktop, kapag ang pag-index ng data sa background, at kapag nagko-convert ng mga imahe. Para sa isang matagumpay na pag-atake, sa maraming mga kaso, sapat na upang i-download ang exploit file o i-browse ang direktoryo dito sa isang file manager na sumusuporta sa pagpapakita ng mga thumbnail ng dokumento, halimbawa sa Nautilus.
Mga Kakulangan sa Ghostscript maaari ring mapagsamantalahan sa pamamagitan ng mga Controller ng imahe batay sa mga package na ImageMagick at GraphicsMagick, na nagpapasa ng isang JPEG o PNG file, na naglalaman ng PostScript code sa halip na isang imahe (ang file na ito ay iproseso sa Ghostscript, dahil ang uri ng MIME ay kinikilala ng nilalaman, at hindi nakasalalay sa extension).
Bilang isang solusyon upang maprotektahan laban sa pagsasamantala sa kahinaan sa pamamagitan ng awtomatikong thumbnail generator sa GNOME at ImageMagick, inirerekumenda na huwag paganahin ang evince-thumbnailer na tawag sa /usr/share/thumbnailers/evince.thumbnailer at huwag paganahin ang pag-render ng PS, EPS, PDF at mga format na XPS sa ImageMagick,
Sa wakas Nabanggit na sa maraming pamamahagi ang problema ay hindi pa rin maayos (ang katayuan ng paglabas ng mga update ay maaaring makita sa mga pahina ng Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).
Nabanggit din na ang paglabas ng GhostScript kasama ang pag-aalis ng kahinaan ay naka-iskedyul na mai-publish bago ang katapusan ng buwan. Kung nais mong malaman ang tungkol dito, maaari mong suriin ang mga detalye sa sumusunod na link.