GhostScript 0-day-Schwachstelle ermöglicht Server-Übernahme

Sicherheit (Pexels, allgemeine Nutzung)[English]In GhostScript (bis v 9.50) gibt es eine ungepatchte Schwachstelle, die eine Rechteausweitung ermöglicht. Gefährdet sind vor allem Server, auf denen das Programm ImageMagick läuft. Diese könnten von Angreifern übernommen werden. Die Schwachstelle wurde vor einem Jahr entdeckt, angeblich aber nicht an die Entwickler gemeldet. Und nun gibt es ein Proof-of-Concept (PoC), um die Schwachstelle per Exploit auszunutzen. Da Tools wie ImageMagick GhostScript intern nutzen und von vielen Firmen eingesetzt werden, sollten Admins reagieren und GhostScript aktualisieren


Anzeige

Was ist GhostScript?

GhostScript ist ein freier Interpreter der Seitenbeschreibungssprache PostScript und des Portable Document Format (PDF). GhostScript stellt eine Programmierschnittstelle mit Funktionen bereit, um PostScript- und PDF-Inhalte darstellen und drucken zu können. Das Produkt läuft auf UNIX, Mac OS X, VMS, Windows, OS/2 ud Mac OS.

GhostScript ist in vielen Treibern oder Tools zur Ausgabe von Dokumenten im PDF-Format integriert. Auch das freie Softwarepaket ImageMagick zur Erstellung und Bearbeitung von Raster- und Vektorgrafiken setzt auf GhostScript. GhostScript wird von Artifex auf dieser Webseite angeboten.

0-day-Schwachstelle und Exploit

Ich bin bereits gestern über nachfolgenden Tweet von Catalin Cimpanu auf die Problematik aufmerksam geworden. Hintergrund ist, dass Sonntag ein Proof-of-Concept zur Ausnutzung der Schwachstelle veröffentlicht wurde.

GhostScript 0-day

0-day RCE-Schwachstelle in GhostScript 9.50

Die Entdeckung einer ungepatchten Schwachstelle in GhostScript 9.50, die eine Remote-Codeausführung (RCE) ermöglicht, erfolgte  durch Emil Lerner, Gründer und CTO von Wunderfund. Dieser hat die Schwachstelle Ende 2020 entdeckt und dieses Wissen genutzt, um Bug Bounties von Unternehmen wie Airbnb, Dropbox und Yandex zu kassieren. Es scheint aber, dass Lerner die Schwachstelle nicht an Artifex, den Entwickler von GhostScript, gemeldet hat.

ZeroNights X talk about GhostScirpt 9.50 RCE

In obigem Tweet teilt Learner seine Vortragsfolien seines Vortrags bei der ZeroNights X! Dort geht er auf eine 0-day-Schwachstelle in GhostScript 9.50 ein, wo er eine RCE-Exploit-Kette für ImageMagick vorstellte. Er konnte den Exploit mit den Standardeinstellungen aus den Ubuntu-Repos ausführen. ImageMagick wird von verschiedenen Firmen für die Bildkonvertierung im Web eingesetzt.

Neuer Proof-of-Concept

Vergangenes Wochenende veröffentlichte der vietnamesischen Sicherheitsforscher Nguyen The Duc seinen Proof-of-Concept-Code (siehe Tweet) auf GitHub, um eine 0-day-Schwachstelle in GhostScript auszunutzen.


Anzeige

GhostScript 9.5 0-day PoC

Auf GitHub schreibt Nguyen The Duc, dass der in Python geschriebene PoC einen 0-Day von GhostScript 9.50 ausnutzt. Dieser 0-Day-Exploit betreffe ImageMagick mit den Standardeinstellungen aus dem Ubuntu-Repository (getestet mit den Standardeinstellungen von ImageMagick auf Ubuntu 20.04). Sicherheitsforscher Will Dormann bestätigt in einem Tweet, dass der PoC funktioniert.

Will Doormann at GhostScript 0-day

In Folge-Tweets geht Doormann auf die manipulierten JPG-Grafikdateien zur Ausnutzung des 0-day in ImageMagick ein. Interessant fand ich den Tweet von Rikmer Rikmer, der sich mit Workarounds zum Entschärfen der Schwachstelle befasst.

Mitigation of 0-day GhostScript 9.5 RCE

Dort wird auf diesen nsfocusglobal.com-Sicherheitshinweis verwiesen, der die Details der Schwachstellen etwas zusammen fasst. Laut diesem Post hat der Entwickler Artifex den „Bug 701446: Avoid divide by zero in shading“ in Ghostscript am 28. August 2019 veröffentlicht. Artifex kündigte die Behebung der vier -dSAFER-Sandbox-Umgehungsschwachstellen an (-dSAFER ist eine Sicherheits-Sandbox, die von Ghostscript zur Verhinderung von unsicheren PostScript-Operationen verwendet wird).

Aktuell besteht nur die Möglichkeit, ein GhostScript-Update auf neuere Versionen durchzuführen. Die Red Hat 7 und 8 Distributionen wurden bereits aktualisiert, um diese Schwachstellen zu beheben. Im Artikel wird auch eine Abschwächung des Fehlers für Systeme, die nicht aktualisiert werden können, beschrieben.

Artifex, das Unternehmen, das hinter dem Ghostscript-Projekt steht, teilte The Record mit, dass die Schwachstelle dem Unternehmen nicht im Rahmen seines Verfahrens zur Offenlegung von Schwachstellen gemeldet worden sei. Das Unternehmen zeigt sich „zunehmend frustriert über Sicherheitsforscher, die potenziell schwerwiegende Sicherheitslücken nicht auf ethische Weise offenlegen“. Man arbeite derzeit an einem Patch, der hoffentlich bis Ende der Woche veröffentlichen werden kann.

Ähnliche Artikel:
6 Jahre alter Loop-Bug in vielen PDF-Viewern
Ungepatchte Schwachstelle im GhostScript-Interpreter
Sicherheitsupdate für GhostScript 9.25 (2018-09-13)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit, Software verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu GhostScript 0-day-Schwachstelle ermöglicht Server-Übernahme

  1. 1ST1 sagt:

    Der Vollständigkeit halber für unsere Linux-Freunde: tar (tape archiver – einer der uraltesten Linux/Unix-Befehle die einem so einfallen können) und npm haben auch Patches bekommen. Die 7 Sicherheitslücken sind sicher trotz Opensource auch schon Jahre wenn nicht Jahrzehnte unentdeckt geblieben. https://www.bleepingcomputer.com/news/security/github-finds-7-code-execution-vulnerabilities-in-tar-and-npm-cli/ Linux ist natürlich trotzdem sicher, daran gibts keinen Zweifel!

    • MOM20xx sagt:

      das problem an opensource, ist nicht opensource per se sondern die ganzen softwarebuden, die ihre produkte mit opensource komponenten aufbauen und diese dann nie patchen.

      sei es die tolle endpoint protection, wo eine uralt rar komponente zum entpacken von rar files drinnen ist oder eine schwerstes unsichere openssl library.

      teilweise weiss man ja gar nicht welche komponenten so manche software mit sich bringt.

    • Günter Born sagt:

      Hatte es gesehen, muss mal schauen, ob ich es von der Zeit her thematisiere.

    • Zocker sagt:

      „Linux ist natürlich trotzdem sicher, daran gibts keinen Zweifel!“

      Dafür ist doch Win10 der heilige Gral der Sicherheit und Stabilität. Also alles bestens für dich.

      • 1ST1 sagt:

        Das habe ich nie behauptet. Es ist einfach das Werkzeug, womit ich (und weltweit die meisten anderen) damit arbeiten können. Das ist ein feiner Unterschied!

        • Zocker sagt:

          Nein, das ist das Werkzeug, mit dem die meisten anderen arbeiten MÜSSEN. Das ist der feine Unterschied, den du sicher nie begreifen wirst.

  2. Günter Born sagt:

    Kurzer Nachtrag: Auf Twitter hat mich Rikmer Rikmer noch auf folgendes aufmerksam gemacht.

    Ghostscript Schwachstelle/></a></p>
</div>

				<div class= Antworten

  3. Zocker sagt:

    Die Version 9.50 ist fast 2 Jahre alt, aktuell ist 9.54. Genug Zeit zum updaten hatte man also, auch wenn man GS in die eigene Software integriert hat. Daher verstehe ich das Problem nicht so ganz, wenn es nur alte Versionen betrifft. Lücken gibt es andauernd und Hauptsache sie werden geschlossen.

  4. KD sagt:

    Wir ärgern uns gerade mit einer uralten GS-Version rum. Wir nutzen die „E-POSTBUSINESS BOX“ (ja, die schreibt man wohl in All-Caps) von der Deutschen Post. Diese liefert ein custom GhostScript mit, Version 9.26.1. Dem Github von GS zufolge ist diese vom November 2018. Eine Anfrage bei der Post ist seit einer Woche unbeantwortet – dort kümmert sich offensichtlich niemand. Fire & Forget.

    Auch Versuche, dem Ding die aktuelle Version unterzujubeln, schlugen mit Fehlermeldung fehl. Als verantwortungsbewusster Admin müsste man diese Software jetzt eigentlich sofort stilllegen. Updates von der Software gab es seit über einem Jahr keine.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.