按 Enter 到主內容區
:::

TWCERT-電子報

:::

編譯器Ghostscript嚴重弱點波及多種軟體與OS

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2019-04-03
  • 點閱次數:557
編譯器Ghostscript嚴重弱點波及多種軟體與OS

CVE編號

CVE-2018-15909

內文

●概述:
基於Adobe PostScript及PDF的頁面描述語言需求,Artifex Software以C語言開發Ghostscript編譯器,現今適用Linux、Unix、mac OS X、VMS、Windows、OS/2,並被ImageMagick、Evince、GIMP等編輯工具納為基本功能,影響力遍及上百款套裝軟體及函式庫,經Google Project Zero研究員Tavis Ormandy長期分析,指出Ghostscript內建-dSAFER選項,本是防止惡意行為的沙箱保護機制,但竟包含嚴重破綻,駭客製作各類惡意檔案(PDF、PS、EPS、XPS),交給Ghostscript解析,可能執行任意指令或造成資料類型混淆,甚至可開啟受限制檔案,於隨機目錄恣意生成檔案,鑒於Ghostscript應用面廣泛,其RCE效果危及者眾多,且官方暫無正式修補,目前權宜之計,僅能從政策參數停用相關編碼功能,避免成為入侵對象。
●編註:
(1)探勘模式
Ghostscript內建之-dSAFER安全選項,因為設計面的破綻,反倒成了入侵者的突破口,Tavis Ormandy本人對Ghostscript鑽研甚深,提出多樣探勘手法,亦證實其觀念驗證程式碼能成功生效,然顧慮使用者資安權益,技術細節暫不公開。
(1-1)若進行還原作業失敗後,則不合法存取檢查機制會失效,故駭客只要控制錯誤被觸發,即可執行shell command。
(1-2)設定色彩顯示功能setcolor,原本設計觀念並不重視檢查運算元,因為運算元是藏在同名的假性運算子之後,不過攻擊者仍可在設定setpattern時間接呼叫,執行本該禁止的運算。
(1-3) boolean參數 LockDistillerParams 未做資料型態檢查,容易發生型態混淆之錯誤狀態。
(1-4)本來PermitFileReading陣列變數規範可存取檔案之格式,由於tempfile類型檔案許可權失效,造成例外檔案也被開啟,甚至能在任何路徑製造任意檔案,好比目錄遍歷漏洞效果,且經由ImageMagick將惡意圖案.jpg轉成縮圖.jpg程序,其編碼輸出運算過程能偷取webserver內隨意檔案。
(2)權宜之計
因為Ghostscript正式修補未出現,此前可行的變通方式,就是核心功能涉及Ghostscript之軟體,先停用PS、EPS、PDF、XPS編碼器,以套裝軟體ImageMagick為例,可編輯逾百種圖案,轉換TIFF、JPEG、PNG、PDF、GIF等格式,ImageMagick預設使用Ghostscript,控制項列於/etc/ImageMagick/policy.xml檔案內區域,加入下列指令行:




(3)風險評估
鑒於Ghostscript編譯器支援的平台與套軟體非常多,所有運行中的伺服器或單機程式,均對開放原始碼的Ghostscript核心元件有依存性,升級改版頗有難度,因為要先耗時修補Ghostscript,再根據新版Ghostscript來調整各家軟體,二度耗時等待各廠修改成果出爐,還要實際部署至設備端才算數,等待期間足夠駭客嘗試各種探勘途徑,-dSAFER功能並不可靠,可以預測攻擊事件將隨時爆發。
(4)影響產品
無論是否受Ghostscript漏洞影響,眾多軟體業者已緊急更新產品設定以策安全,確認如後:Artifex Software, Inc.、CentOS、Debian GNU/Linux、Fedora Project、FreeBSD Project、Gentoo Linux、ImageMagick、Red Hat, Inc.、SUSE Linux、Ubuntu、CoreOS、Apple、Arch Linux、Arista Networks, Inc. 、ASP Linux、Dell EMC、DesktopBSD、DragonFly BSD Project、ENEA、F5 Networks, Inc.、Geexbox、HardenedBSD、Hewlett Packard Enterprise、Hitachi、HomeSeer、HP Inc.、IBM, INC.、Illumos、Joyent、Juniper Networks、Lenovo、m0n0wall、Micro Focus、Microsoft、MontaVista Software, Inc.、NEC Corporation、NetBSD、Nexenta、Nokia、OmniTI、OpenBSD、OpenIndiana、Openwall GNU/*/Linux、Oracle Corporation、QNX Software Systems Inc.、Slackware Linux Inc.、Sony Corporation、The Open Group、The SCO Group (SCO Unix)、Tizen、TrueOS、Turbolinux、Unisys、

影響產品

Ghostscript 9.23

解決辦法

暫無修補版本

相關連結

  1. https://cxsecurity.com/issue/WLB-2018080153
  2. https://www.bleepingcomputer.com/news/security/no-patch-available-yet-for-new-major-vulnerability-in
  3. https://www.kb.cert.org/vuls/id/332928
  4. https://appuals.com/ghostscript-vulnerability-could-cause-data-security-breach/
  5. https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=332928&SearchOrder=4
  6. http://seclists.org/oss-sec/2018/q3/142
  7. https://zh.wikipedia.org/wiki/Ghostscript
  8. https://zh.wikipedia.org/wiki/ImageMagick
  9. https://www.imagemagick.org/script/security-policy.php
  10. https://www.ghostscript.com/doc/current/Use.htm#Safer
  11. http://artifex-staging.825mediatesting.com/wp-content/uploads/2017/01/Ghostscript-conversion-493x364
  12. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15909
  13. https://thehackernews.com/2018/08/ghostscript-postscript-vulnerability.html
回頁首