ghostscript命令執行漏洞預警的分析

這期內容當中小編將會給大家帶來有關ghostscript命令執行漏洞預警的分析，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

0x00 漏洞背景

8 月 21 號，Tavis Ormandy 通過公開郵件列表（hxxps://bugs.chromium[.]org/p/project-zero/issues/detail?id=1640），再次指出 ghostscript 的安全沙箱可以被繞過，通過構造惡意的圖片內容，可造成命令執行。

ghostscript應用廣泛，ImageMagick、python-matplotlib、libmagick 等圖像處理應用均有引用。

在ghostscript中由于以往的安全事件，針對安全問題gs官方采用增加參數-dSAFER來開啟安全沙箱，但該沙箱在程序執行過程中由LockSafetyParams這個值進行控制，此次Taviso發現通過restore操作會將該值成功覆蓋，導致安全沙箱被繞過，引發命令執行漏洞。

0x01 漏洞影響

version <= 9.23（全版本、全平臺）

官方未出緩解措施，最新版本受到影響。

漏洞導致所有引用ghostscript的上游應用收到影響。 常見應用如下：

    imagemagick

    libmagick

    graphicsmagick

    gimp

    python-matplotlib

    texlive-core

    texmacs

    latex2html

    latex2rtf

等

0x02 詳細分析

對ghostscript進行調試。

可以看到在此處因為-dSAFER 被置為1

可以看到這里因為restore操作成功繞過了限制將LockSafetyParams成功置為0

在最后調用pope執行%pipe%命令之前的函數中依舊為0并且沒有任何操作將LockSafetyParams的值修復。成功造成命令執行。

可見命令直接被帶入popen函數。

0x03 利用效果

漏洞利用效果如下：

0x04 緩解措施

目前官方未給出緩解措施，建議卸載ghostscript。

使用ImageMagick，建議修改policy文件

（默認位置：/etc/ImageMagick/policy.xml），在 <policymap> 中加入以下 <policy>（即禁用 PS、EPS、PDF、XPS coders）：

<policymap>
<policy domain="coder" rights="none" pattern="PS" />
<policy domain="coder" rights="none" pattern="EPS" />
<policy domain="coder" rights="none" pattern="PDF" />
<policy domain="coder" rights="none" pattern="XPS" />
</policymap>

0x05 時間線

2018-08-18  taviso提交漏洞

2018-08-22  漏洞信息公開

2018-08-22  360CERT對漏洞分析跟進，發布預警分析

上述就是小編為大家分享的ghostscript命令執行漏洞預警的分析了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。