Ghostscript, un ensemble d'outils de traitement, de conversion et de génération de documents aux formats PostScript et PDF, présente une vulnérabilité critique (CVE-2021-3781) qui permet l'exécution de code arbitraire lors du traitement d'un fichier spécialement formaté. Initialement, le problème a été porté à l'attention d'Emil Lerner, qui a parlé de la vulnérabilité le 25 août lors de la conférence ZeroNights X tenue à Saint-Pétersbourg (le rapport décrivait comment Emil, dans le cadre des programmes de bug bounty, a utilisé la vulnérabilité pour recevoir des bonus pour avoir démontré des attaques sur les services AirBNB, Dropbox et Yandex.Real Estate).
Le 5 septembre, un exploit fonctionnel est apparu dans le domaine public qui vous permet d'attaquer les systèmes exécutant Ubuntu 20.04 en transmettant un document spécialement conçu chargé sous forme d'image à un script Web exécuté sur le serveur à l'aide du package php-imagemagick. De plus, selon des données préliminaires, un exploit similaire est utilisé depuis mars. Il a été affirmé que les systèmes exécutant GhostScript 9.50 pourraient être attaqués, mais il s'est avéré que la vulnérabilité était présente dans toutes les versions ultérieures de GhostScript, y compris la version 9.55 en développement de Git.
Le correctif a été proposé le 8 septembre et, après examen par les pairs, accepté dans le référentiel GhostScript le 9 septembre. Dans de nombreuses distributions, le problème reste non résolu (l'état de publication des mises à jour peut être consulté sur les pages de Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD). Une version de GhostScript avec un correctif pour la vulnérabilité devrait être publiée avant la fin du mois.
Le problème est dû à la possibilité de contourner le mode d'isolation "-dSAFER" en raison d'une vérification insuffisante des paramètres du périphérique Postscript "%pipe%", qui permettait l'exécution de commandes shell arbitraires. Par exemple, pour lancer l'utilitaire id dans un document, il suffit de préciser la ligne « (%pipe%/tmp/&id)(w)file » ou « (%pipe%/tmp/;id)(r)file ».
Rappelons que les vulnérabilités de Ghostscript présentent un danger accru, puisque ce package est utilisé dans de nombreuses applications populaires pour le traitement des formats PostScript et PDF. Par exemple, Ghostscript est appelé lors de la création de vignettes sur le bureau, de l'indexation des données d'arrière-plan et de la conversion d'images. Pour une attaque réussie, dans de nombreux cas, il suffit simplement de télécharger le fichier contenant l'exploit ou d'afficher le répertoire contenant celui-ci dans un gestionnaire de fichiers prenant en charge l'affichage des miniatures de documents, par exemple dans Nautilus.
Les vulnérabilités de Ghostscript peuvent également être exploitées via des processeurs d'images basés sur les packages ImageMagick et GraphicsMagick en leur transmettant un fichier JPEG ou PNG contenant du code PostScript au lieu d'une image (un tel fichier sera traité dans Ghostscript, puisque le type MIME est reconnu par le contenu, et sans compter sur l’extension).
Source: opennet.ru