本文來自微信公眾號“嘶吼專業(yè)版”,作者/胡金魚。
Linux系統(tǒng)上廣泛使用的Ghostscript文檔轉(zhuǎn)換工具包中存在一個遠程代碼執(zhí)行漏洞,目前正在遭受攻擊。
Ghostscript預(yù)裝在許多Linux發(fā)行版上,并被各種文檔轉(zhuǎn)換軟件使用,包括ImageMagick、LibreOffice、GIMP、Inkscape、Scribus和CUPS打印系統(tǒng)。
此格式字符串漏洞的編號為CVE-2024-29510,影響所有Ghostscript 10.03.0及更早版本。它使攻擊者能夠逃離-dSAFER沙盒(默認(rèn)啟用),因為未修補的Ghostscript版本無法在激活沙盒后阻止對uniprint設(shè)備參數(shù)字符串的更改。
這種安全繞過尤其危險,因為它允許他們使用沙箱通常會阻止的Ghostscript Postscript解釋器執(zhí)行高風(fēng)險操作,例如命令執(zhí)行和文件I/O。
發(fā)現(xiàn)并報告此安全漏洞的Codean Labs安全研究人員警告稱:“此漏洞對提供文檔轉(zhuǎn)換和預(yù)覽功能的Web應(yīng)用程序和其他服務(wù)有重大影響,因為這些服務(wù)通常在后臺使用Ghostscript。”
安全研究人員建議用戶驗證解決方案是否(間接)使用了Ghostscript,如果是,請將其更新到最新版本。
Codean Labs還分享了Postscript文件,可以通過以下命令運行它來幫助防御者檢測他們的系統(tǒng)是否容易受到CVE-2023-36664攻擊:
ghostscript-q-dNODISPLAY-dBATCH CVE-2024-29510_testkit.ps
在攻擊中被積極利用
Ghostscript開發(fā)團隊在5月份修補了該安全漏洞,而Codean Labs則在兩個月后發(fā)布了包含技術(shù)細節(jié)和概念驗證漏洞代碼的說明。攻擊者已經(jīng)在利用CVE-2024-29510 Ghostscript漏洞,使用偽裝成JPG(圖像)文件的EPS(PostScript)文件獲取易受攻擊系統(tǒng)的shell訪問權(quán)限。
開發(fā)人員警告稱,如果生產(chǎn)服務(wù)中的任何地方有g(shù)hostscript,則會受到令人震驚的遠程shell執(zhí)行攻擊,應(yīng)該升級它或?qū)⑵鋸纳a(chǎn)系統(tǒng)中刪除。
Codean Labs補充道:“針對此漏洞的最佳緩解措施是將Ghostscript安裝更新至v10.03.1。如果用戶的發(fā)行版未提供最新的Ghostscript版本,則可能仍發(fā)布了包含此漏洞修復(fù)程序的補丁版本(例如,Debian、Ubuntu、Fedora)。”
一年前,Ghostscript開發(fā)人員修補了另一個嚴(yán)重的RCE漏洞(CVE-2023-36664),該漏洞也是由未修補的系統(tǒng)上打開惡意制作的文件引發(fā)的。