Linux 系统上广泛使用的 Ghostscript 文档转换工具包中存在一个远程代码执行漏洞,目前正在遭受攻击。
Ghostscript 预装在许多 Linux 发行版上,并被各种文档转换软件使用,包括 ImageMagick、LibreOffice、GIMP、Inkscape、Scribus 和 CUPS 打印系统。
此格式字符串漏洞的编号为CVE-2024-29510,影响所有 Ghostscript 10.03.0 及更早版本。它使攻击者能够逃离 -dSAFER 沙盒(默认启用),因为未修补的 Ghostscript 版本无法在激活沙盒后阻止对 uniprint 设备参数字符串的更改。
这种安全绕过尤其危险,因为它允许他们使用沙箱通常会阻止的 Ghostscript Postscript 解释器执行高风险操作,例如命令执行和文件 I/O。
发现并报告此安全漏洞的 Codean Labs 安全研究人员警告称:“此漏洞对提供文档转换和预览功能的 Web 应用程序和其他服务有重大影响,因为这些服务通常在后台使用 Ghostscript。”
“我们建议开发者验证自己的解决方案是否(间接)使用了 Ghostscript,如果是,请将其更新到最新版本。”
Codean Labs 还分享了这个 Postscript 文件,可以通过以下命令运行它来帮助防御者检测他们的系统是否容易受到 CVE-2023-36664 攻击:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
该漏洞在攻击中被积极利用
虽然 Ghostscript 开发团队在 5 月份修补了该安全漏洞,但两个月后 Codean Labs 发布了一份包含技术细节和概念验证漏洞代码的报告。
攻击者已经在野利用 CVE-2024-29510 Ghostscript 漏洞,使用伪装成 JPG(图像)文件的 EPS(PostScript)文件获取对易受攻击的系统的 shell 访问权限。
开发人员 Bill Mill警告称:“如果您的生产系统中的任何地方都有 ghostscript,那么您可能容易受到远程 shell 执行攻击,应该立刻升级或将其从生产系统中删除。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/G0KqS5T212viFg9nD6qAbA
暂无评论内容