В Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF, выявлена (https://bugs.ghostscript.com/show_bug.cgi?id=704342) критическая уязвимость (CVE-2021-3781 (https://security-tracker.debian.org/tracker/CVE-2021-3781)), позволяющая выполнить произвольный код при обработке специально оформленного файла. Изначально на наличие проблемы обратил внимание (https://twitter.com/emil_lerner/status/1430502815181463559) Эмиль Лернер (https://github.com/neex), который рассказал об уязвимости 25 августа на прошедшей в Санкт-Петербурге конференции ZeroNights X (в докладе (https://www.slideshare.net/neexemil/hotpics-2021) было рассказано, как Эмиль в рамках программ bug bounty использовал уязвимость для получения премий за демонстрацию атак на сервисы AirBNB, Dropbox и Яндекс.Недвижимость).

5 сентября в открытом доступе появился (https://twitter.com/ducnt_/status/1434534373416574983) рабочий эксплоит (https://github.com/duc-nt/RCE-0-day-for-GhostScript-9.50), позволяющий атаковать системы с Ubuntu 20.04 через передачу выполняемому на сервере web-скрипту, использующему пакет php-imagemagick, специально оформленного документа, загруженного под видом картинки. При этом по предварительным данным (https://bugs.ghostscript.com/show_bug.cgi?id=704342#c1) подобный эксплоит находился в обиходе ещё с марта. Заявлялось о возможности атаки на системы с GhostScript 9.50, но выяснилось, что уязвимость проявляется и во всех последующих версиях GhostScript, включая находящийся в разработке выпуск 9.55 из Git (https://git.ghostscript.com/?p=ghostpdl.git;a=summary).

Исправление было предложено 8 сентября и после рецензирования принято (https://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=a9bd3dec9fde03327a4 a2c69dad1036bf9632e20) в репозиторий GhostScript 9 сентября. Во многих дистрибутивах проблема остаётся до сих пор не исправлена (статус публикации обновлений можно посмотреть на страницах Debian (https://security-tracker.debian.org/tracker/CVE-2021-3781), Ubuntu (https://ubuntu.com/security/CVE-2021-3781), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=2003085), SUSE (https://bugzilla.suse.com/show_bug.cgi?id=CVE-2021-3781), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2021-3781), Arch Linux (https://security.archlinux.org/CVE-2021-3781), FreeBSD (http://www.vuxml.org/freebsd/), NetBSD (http://ftp.netbsd.org/pub/NetBSD/packages/vulns/pkg-vulnerabilities)). Релиз GhostScript с устранением уязвимости планируют (https://bugs.ghostscript.com/show_bug.cgi?id=704342#c14) опубликовать до конца месяца.

Проблема вызвана возможностью обхода режима изоляции "-dSAFER" из-за недостаточной проверки параметров Postscript-устройства "%pipe%", позволявших добиться выполнения произвольных shell-команд. Например, для запуска утилиты id в документе достаточно указать строку "(%pipe%/tmp/&id)(w)file" или "(%pipe%/tmp/;id)(r)file".

Напомним, что уязвимости в Ghostscript представляют повышенную опасность, так как данный пакет используется во многих популярных приложениях для обработки форматов PostScript и PDF. Например, Ghostscript вызывается в процессе создания миниатюр на рабочем столе, при фоновой индексации данных и при преобразовании изображений. Для успешной атаки во многих случаях достаточно просто загрузить файл с эксплоитом или просмотреть каталог с ним в файловом менеджере, поддерживающем отображение эскизов документов, например, в Nautilus.

Уязвимости в Ghostscript также можно эксплуатировать через обработчики изображений на базе пакетов ImageMagick и GraphicsMagick, передав в них JPEG или PNG-файл, в котором вместо картинки находится код PostScript (такой файл будет обработан в Ghostscript, так как MIME-тип распознаётся по содержимому, а не полагаясь на расширение).

10.09.2021

https://www.opennet.ru/opennews/art.shtml?num=55780​