Ghostscript库中的RCE漏洞已遭利用
2024-7-9 16:36:55 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

广泛用于 Linux 系统上的文档转换工具集Ghostscript中存在一个远程代码执行漏洞,目前已遭利用。

Ghostscript 预装在很多Linux发行版本中,且用于多种文档转换软件中如 ImageMagick、LibreOffice、GIMP、Inkscape、Scribus和CUPS 打印系统中。该漏洞编号为CVE-2024-29510,是格式字符串漏洞,影响所有 Ghostscript 10.03.0及更早版本。它可使攻击者逃逸 –dSAFER 沙箱(默认启用),因为未修复的 Ghostscript版本未能在该沙箱激活后阻止Uniprint 设备参数字符串的变更。

该安全绕过漏洞非常危险,因为它可导致攻击者利用 Ghostscript Postscript 解释器执行高风险操作如命令执行和文件输入/输出,而一般情况下沙箱会拦截该解释器。

发现并报送该漏洞的 Codean Labs 公司的安全研究员提醒称,“该漏洞对于提供文档转换和预览功能的web 应用和其它服务具有重大影响。我们建议用户验证所用解决方案是否(间接)使用了 Ghostscript,如使用则需更新至最新版本。”

Codean Labs 还共享了 Postscript 文件,帮助防御人员检测系统是否易受攻击,需运行的命令如下:

ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps

遭活跃利用

虽然 Ghostscript 开发团队在5月份修复了该漏洞,但Codean Labs 在两个月后发布了相关技术详情和 PoC 利用代码。

该漏洞已遭利用,攻击者将EPS (PostScript) 文件伪装成 JPG 文件,获得对易受攻击系统的 shell 访问权限。开发人员 Bill Mill 提醒称,“如果你在生产服务中的‘任何地方’安装了 ghostscript,那么你很可能易受非常容易的远程 shell 执行攻击,你应该升级或者从生产系统中删除它。最佳缓解措施是奖 Ghostscript 升级至v10.03.1版本。如果你的分发无法提供最新版本,则可能仍然发布包括该漏洞修复方案的补丁版本(如 Debian、Ubuntu、Fedora)。”

一年前,Ghostscript 开发人员曾修复了另外一个严重的RCE漏洞 (CVE-2023-36664),它也是因为在未修复系统上打开恶意构造的文件导致的。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

热门开源PDF库 Ghostscript中存在严重的RCE漏洞

全世界都宠爱的开源 PDF 解释器 Ghostscript又得修了

Ghostscript 解释器中出现重大漏洞 补丁尚未推出

Ollama AI 基础设施工具中存在严重的RCE漏洞

TP-Link 修复热门C5400X 游戏路由器中的严重RCE漏洞

原文链接

https://www.bleepingcomputer.com/news/security/rce-bug-in-widely-used-ghostscript-library-now-exploited-in-attacks/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520021&idx=1&sn=eac7f44a62e58334fb97c1e5e162e2f7&chksm=ea94be7fdde33769f2de9443ced8789298cfe040ee0d5216a54f3437207c0d8100956627b6f2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh