本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
Linux系统上广泛使用的Ghostscript文档转换工具包中存在一个远程代码执行漏洞,目前正在遭受攻击。
Ghostscript预装在许多Linux发行版上,并被各种文档转换软件使用,包括ImageMagick、LibreOffice、GIMP、Inkscape、Scribus和CUPS打印系统。
此格式字符串漏洞的编号为CVE-2024-29510,影响所有Ghostscript 10.03.0及更早版本。它使攻击者能够逃离-dSAFER沙盒(默认启用),因为未修补的Ghostscript版本无法在激活沙盒后阻止对uniprint设备参数字符串的更改。
这种安全绕过尤其危险,因为它允许他们使用沙箱通常会阻止的Ghostscript Postscript解释器执行高风险操作,例如命令执行和文件I/O。
发现并报告此安全漏洞的Codean Labs安全研究人员警告称:“此漏洞对提供文档转换和预览功能的Web应用程序和其他服务有重大影响,因为这些服务通常在后台使用Ghostscript。”
安全研究人员建议用户验证解决方案是否(间接)使用了Ghostscript,如果是,请将其更新到最新版本。
Codean Labs还分享了Postscript文件,可以通过以下命令运行它来帮助防御者检测他们的系统是否容易受到CVE-2023-36664攻击:
ghostscript-q-dNODISPLAY-dBATCH CVE-2024-29510_testkit.ps
在攻击中被积极利用
Ghostscript开发团队在5月份修补了该安全漏洞,而Codean Labs则在两个月后发布了包含技术细节和概念验证漏洞代码的说明。攻击者已经在利用CVE-2024-29510 Ghostscript漏洞,使用伪装成JPG(图像)文件的EPS(PostScript)文件获取易受攻击系统的shell访问权限。
开发人员警告称,如果生产服务中的任何地方有ghostscript,则会受到令人震惊的远程shell执行攻击,应该升级它或将其从生产系统中删除。
Codean Labs补充道:“针对此漏洞的最佳缓解措施是将Ghostscript安装更新至v10.03.1。如果用户的发行版未提供最新的Ghostscript版本,则可能仍发布了包含此漏洞修复程序的补丁版本(例如,Debian、Ubuntu、Fedora)。”
一年前,Ghostscript开发人员修补了另一个严重的RCE漏洞(CVE-2023-36664),该漏洞也是由未修补的系统上打开恶意制作的文件引发的。
