Ghostscript, seti ya zana za kuchakata, kubadilisha na kutengeneza hati katika umbizo la PostScript na PDF, ina athari kubwa (CVE-2021-3781) ambayo inaruhusu utekelezaji wa msimbo kiholela wakati wa kuchakata faili iliyoumbizwa mahususi. Hapo awali, shida ililetwa kwa Emil Lerner, ambaye alizungumza juu ya hatari hiyo mnamo Agosti 25 katika mkutano wa ZeroNights X uliofanyika St. kupokea bonasi kwa kuonyesha mashambulizi kwenye huduma za AirBNB, Dropbox na Yandex.Real Estate).
Mnamo Septemba 5, matumizi ya kazi yalionekana kwenye kikoa cha umma ambayo hukuruhusu kushambulia mifumo inayoendesha Ubuntu 20.04 kwa kusambaza hati iliyoundwa mahsusi iliyopakiwa kama picha kwa hati ya wavuti inayoendeshwa kwenye seva kwa kutumia kifurushi cha php-imagemagick. Kwa kuongezea, kulingana na data ya awali, unyonyaji kama huo umekuwa ukitumika tangu Machi. Ilidaiwa kuwa mifumo inayoendesha GhostScript 9.50 inaweza kushambuliwa, lakini ilibainika kuwa athari hiyo ilikuwepo katika matoleo yote yaliyofuata ya GhostScript, ikijumuisha toleo la maendeleo la 9.55 kutoka Git.
Marekebisho hayo yalipendekezwa tarehe 8 Septemba na, baada ya ukaguzi wa marafiki, ikakubaliwa katika hazina ya GhostScript mnamo Septemba 9. Katika usambazaji mwingi, shida bado haijatatuliwa (hali ya uchapishaji wa sasisho inaweza kutazamwa kwenye kurasa za Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD). Toleo la GhostScript lililo na marekebisho ya uwezekano wa kuathiriwa limepangwa kuchapishwa kabla ya mwisho wa mwezi.
Tatizo linasababishwa na uwezekano wa kupitisha hali ya kutengwa ya "-dSAFER" kutokana na ukaguzi wa kutosha wa vigezo vya kifaa cha Postscript "% pipe%", ambayo iliruhusu utekelezaji wa amri za kiholela za shell. Kwa mfano, ili kuzindua matumizi ya kitambulisho katika hati, bainisha tu mstari "(%pipe%/tmp/&id)(w)faili" au "(%pipe%/tmp/;id)(r)faili".
Hebu tukumbushe kwamba udhaifu katika Ghostscript husababisha hatari kubwa, kwani kifurushi hiki kinatumika katika programu nyingi maarufu za kuchakata PostScript na umbizo za PDF. Kwa mfano, Ghostscript inaitwa wakati wa kuunda kijipicha cha eneo-kazi, kuorodhesha data ya usuli, na ubadilishaji wa picha. Kwa shambulio lililofanikiwa, katika hali nyingi inatosha kupakua faili tu kwa kutumia au kutazama saraka nayo kwenye meneja wa faili ambayo inasaidia kuonyesha vijipicha vya hati, kwa mfano, katika Nautilus.
Athari katika Ghostscript pia inaweza kutumika kupitia vichakataji picha kulingana na vifurushi vya ImageMagick na GraphicsMagick kwa kuzipitishia faili ya JPEG au PNG iliyo na msimbo wa PostScript badala ya picha (faili kama hilo litachakatwa katika Ghostscript, kwa kuwa aina ya MIME inatambuliwa na yaliyomo, na bila kutegemea ugani).
Chanzo: opennet.ru