ghostscript命令执行漏洞预警

8 月 21 号,Tavis Ormandy 经由过程公开邮件列表(hxxps://bugs.chromium[.]org/p/project-zero/issues/detail?id=1640),再次指出 ghostscript 的安然沙箱可以被绕过,经由过程构造恶意的图片内容,可造成敕令履行。

ghostscript利用广泛,ImageMagick、python-matplotlib、libmagick 等图像处置惩罚利用均有引用。

在ghostscript中因为以往的安然事故,针对安然问题gs官方采纳增添参数-dSAFER来开启安然沙箱,但该沙箱在法度榜样履行历程中由LockSafetyParams这个值进行节制,这次Taviso发明经由过程restore操作会将该值成功覆盖,导致安然沙箱被绕过,激发敕令履行破绽。

0x01 破绽影响

version

官方未出缓解步伐,最新版本受到影响。

破绽导致所有引用ghostscript的上游利用收到影响。 常见利用如下:

imagemagick

libmagick

graphicsmagick

gimp

python-matplotlib

texlive-core

texmacs

latex2html

latex2rtf

0x02 具体阐发

对ghostscript进行调试。

可以看到在此处由于-dSAFER 被置为1

可以看到这里由于restore操作成功绕过了限定将LockSafetyParams成功置为0

在着末调用pope履行%pipe%敕令之前的函数中依旧为0并且没有任何操作将LockSafetyParams的值修复。成功造成敕令履行。

可见敕令直接被带入popen函数。

0x03 使用效果

破绽使用效果如下:

0x04 缓解步伐

今朝官方未给出缓解步伐,建议卸载ghostscript。

应用ImageMagick,建议改动policy文件(默认位置:/etc/ImageMagick/policy.xml),在

中加入以下

(即禁用 PS、EPS、PDF、XPS coders):

policymap>

policy domain=”coder” rights=”none” pattern=”PS” />

policy domain=”coder” rights=”none” pattern=”EPS” />

policy domain=”coder” rights=”none” pattern=”PDF” />

policy domain=”coder” rights=”none” pattern=”XPS” />

policymap>

0x05 光阴线

2018-08-18 taviso提交破绽

2018-08-22 破绽信息公开

2018-08-22 360CERT对破绽阐发跟进,宣布预警阐发

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包