கோஸ்ட்ஸ்கிரிப்ட், போஸ்ட்ஸ்கிரிப்ட் மற்றும் PDF வடிவங்களில் ஆவணங்களைச் செயலாக்குதல், மாற்றுதல் மற்றும் உருவாக்குதல் ஆகியவற்றுக்கான கருவிகளின் தொகுப்பு, ஒரு முக்கியமான பாதிப்பைக் கொண்டுள்ளது (CVE-2021-3781), இது சிறப்பாக வடிவமைக்கப்பட்ட கோப்பைச் செயலாக்கும்போது தன்னிச்சையான குறியீட்டைச் செயல்படுத்த அனுமதிக்கிறது. ஆரம்பத்தில், பிரச்சனை எமில் லெர்னரின் கவனத்திற்கு கொண்டு வரப்பட்டது, அவர் ஆகஸ்ட் 25 அன்று செயின்ட் பீட்டர்ஸ்பர்க்கில் நடைபெற்ற ZeroNights X மாநாட்டில் பாதிப்பு பற்றி பேசினார். AirBNB, Dropbox மற்றும் Yandex.Real Estate சேவைகள் மீதான தாக்குதல்களை நிரூபிப்பதற்காக போனஸ்களைப் பெறுங்கள்.
செப்டம்பர் 5 அன்று, உபுண்டு 20.04 இயங்கும் கணினிகளைத் தாக்கும் ஒரு வேலைச் சுரண்டல், php-imagemagick தொகுப்பைப் பயன்படுத்தி சர்வரில் இயங்கும் வலை ஸ்கிரிப்ட்க்கு படமாக ஏற்றப்பட்ட ஒரு பிரத்யேகமாக வடிவமைக்கப்பட்ட ஆவணத்தை அனுப்புவதன் மூலம் உங்களை அனுமதிக்கிறது. மேலும், ஆரம்ப தரவுகளின்படி, இதேபோன்ற சுரண்டல் மார்ச் முதல் பயன்பாட்டில் உள்ளது. GhostScript 9.50 இயங்கும் அமைப்புகள் தாக்கப்படலாம் என்று கூறப்பட்டது, ஆனால் Git இலிருந்து வளர்ச்சியில் உள்ள 9.55 வெளியீடு உட்பட, GhostScript இன் அனைத்து அடுத்தடுத்த பதிப்புகளிலும் பாதிப்பு இருப்பது தெரியவந்தது.
திருத்தம் செப்டம்பர் 8 ஆம் தேதி முன்மொழியப்பட்டது மற்றும் சக மதிப்பாய்வுக்குப் பிறகு, செப்டம்பர் 9 ஆம் தேதி கோஸ்ட்ஸ்கிரிப்ட் களஞ்சியத்தில் ஏற்றுக்கொள்ளப்பட்டது. பல விநியோகங்களில், சிக்கல் தீர்க்கப்படாமல் உள்ளது (புதுப்பிப்புகளின் வெளியீட்டின் நிலையை Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD ஆகியவற்றின் பக்கங்களில் பார்க்கலாம்). பாதிப்புக்கான தீர்வுடன் கூடிய கோஸ்ட்ஸ்கிரிப்ட் வெளியீடு மாத இறுதிக்குள் வெளியிட திட்டமிடப்பட்டுள்ளது.
போஸ்ட்ஸ்கிரிப்ட் சாதனம் "%pipe%" இன் அளவுருக்கள் போதுமான அளவு சரிபார்க்கப்படாததால், "-dSAFER" தனிமைப்படுத்தல் பயன்முறையைத் தவிர்ப்பதற்கான சாத்தியக்கூறுகளால் சிக்கல் ஏற்படுகிறது, இது தன்னிச்சையான ஷெல் கட்டளைகளை செயல்படுத்த அனுமதித்தது. எடுத்துக்காட்டாக, ஒரு ஆவணத்தில் ஐடி பயன்பாட்டைத் தொடங்க, “(%pipe%/tmp/&id)(w)file” அல்லது “(%pipe%/tmp/;id)(r)file” என்ற வரியைக் குறிப்பிடவும்.
இந்த தொகுப்பு போஸ்ட்ஸ்கிரிப்ட் மற்றும் PDF வடிவங்களை செயலாக்க பல பிரபலமான பயன்பாடுகளில் பயன்படுத்தப்படுவதால், Ghostscript இல் உள்ள பாதிப்புகள் அதிக ஆபத்தை ஏற்படுத்துகின்றன என்பதை உங்களுக்கு நினைவூட்டுவோம். எடுத்துக்காட்டாக, டெஸ்க்டாப் சிறுபட உருவாக்கம், பின்னணி தரவு அட்டவணைப்படுத்தல் மற்றும் பட மாற்றத்தின் போது கோஸ்ட்ஸ்கிரிப்ட் அழைக்கப்படுகிறது. ஒரு வெற்றிகரமான தாக்குதலுக்கு, பல சந்தர்ப்பங்களில், சுரண்டலுடன் கோப்பைப் பதிவிறக்குவது அல்லது ஆவண சிறுபடங்களைக் காண்பிப்பதை ஆதரிக்கும் கோப்பு மேலாளரில் கோப்பகத்தைப் பார்ப்பது போதுமானது, எடுத்துக்காட்டாக, நாட்டிலஸில்.
Ghostscript இல் உள்ள பாதிப்புகள் ImageMagick மற்றும் GraphicsMagick தொகுப்புகளின் அடிப்படையிலான படச் செயலிகள் மூலமாகவும் ஒரு படத்திற்குப் பதிலாக போஸ்ட்ஸ்கிரிப்ட் குறியீட்டைக் கொண்ட JPEG அல்லது PNG கோப்பை அனுப்புவதன் மூலம் பயன்படுத்திக் கொள்ள முடியும் (அத்தகைய கோப்பு Ghostscript இல் செயலாக்கப்படும், ஏனெனில் MIME வகை அங்கீகரிக்கப்பட்டுள்ளது. உள்ளடக்கம், மற்றும் நீட்டிப்பை நம்பாமல்).
ஆதாரம்: opennet.ru