The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В Ghostscript выявлены две новые критические уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Ghostscript выявлены две новые критические уязвимости"  +/
Сообщение от opennews (??), 11-Окт-18, 11:27 
Исследователями безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, продолжено (https://www.openwall.com/lists/oss-security/2018/10/10/12) выявление (https://www.openwall.com/lists/oss-security/2018/10/09/4) критических уязвимостей в  Ghostscript, позволяющих обойти ограничения sandbox-изоляции, применяемой при запуске в режиме "-dSAFER". Выявленные узявимости позволяют организовать выполнение в системе произвольного кода при обработке в Ghostscript специально оформленных документов. Исправления пока доступны только в виде патчей (1 (http://git.ghostscript.com/?p=ghostpdl.git;a=commit;h=34cc32...),
2 (http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=a5...),
3 (http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=a6...)), в дистрибутивах пакеты с Ghostscript ещё не обновлены.

Первая уязвимость (https://bugs.chromium.org/p/project-zero/issues/detail?id=16...) (CVE-2018-17961 (https://security-tracker.debian.org/tracker/CVE-2018-17961)) вызвана неполным устранением ранее найденной уязвимости CVE-2018-17183 и позволяет через создание обработчика исключения организовать выполнение кода вне sandbox-окружения. Вторая уязвимость (https://bugs.chromium.org/p/project-zero/issues/detail?id=1690) (CVE-2018-18073 (https://security-tracker.debian.org/tracker/CVE-2018-18073)) позволяет организовать выполнение оператора ".forceput" через манипуляции с переданным в обработчик исключения доступом к исполняемому стеку.

Напомним, что уязвимости в Ghostscript представляют повышенную опасность, так как данный пакет используется во многих популярных приложениях для обработки форматов PostScript и PDF. Например, Ghostscript вызывается в процессе создания миниатюр на рабочем столе, при фоновой индексации данных и при преобразовании изображений. Для успешной атаки во многих случаях достаточно просто загрузить файл с эксплоитом или просмотреть каталог с ним в Nautilus. Уязвимости в Ghostscript также можно эксплуатировать через обработчики изображений на базе пакетов ImageMagick и GraphicsMagick, передав в них JPEG или PNG-файл, в котором вместо картинки находится код PostScript (такой файл будет обработан в Ghostscript, так как MIME-тип распознаётся по содержимому, а не полагаясь на расширение).

URL: https://www.openwall.com/lists/oss-security/2018/10/09/4
Новость: https://www.opennet.me/opennews/art.shtml?num=49425

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Ghostscript выявлены две новые критические уязвимости"  –2 +/
Сообщение от Аноним (1), 11-Окт-18, 11:27 
>файл будет обработан .... MIME-тип распознаётся по содержимому, а не полагаясь на расширение

Привычка запускать всякий мусор из левых источников, типа почты - это неизлечимо. И не играет роли, что это: "Котики.jpg.cmd" в случае винды, или "Слоники.png" со скриптами в *nix.
Вот если эта муть уже во время формирования превьюх пролазит - тогда печаль, и надо бить по рукам ImageMagick и GraphicsMagick, т.к. не Ghostscript'ом единым можно нашпиговать файл с расширением jpg.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В Ghostscript выявлены две новые критические уязвимости"  +1 +/
Сообщение от Аноним (-), 12-Окт-18, 08:07 
Если почитать новость, можно узнать что запускать - не обязательно! И при чем тут ImageMagic? Он что, должен превьюхи PDF рендерить? Не говоря о том что в *magic своих CVE по жизни хватает. А вы там что, думали что программа такого размера, поддерживающая десятки навороченных форматов - да вдруг еще и без багов будет, чтоли? Как бы не так!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В Ghostscript выявлены две новые критические уязвимости"  –6 +/
Сообщение от ryoken (ok), 11-Окт-18, 11:34 
Поправьте, если ошибаюсь. Noexec на хомяке тут не поможет же..?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В Ghostscript выявлены две новые критические уязвимости"  +1 +/
Сообщение от Аноним (1), 11-Окт-18, 11:46 
От тупого шифровальщика, например, - не поможет. Что-то более продвинутое, что требует загрузки payload'а из сети, ИМХО будет проблематичнее заякорить.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "В Ghostscript выявлены две новые критические уязвимости"  +/
Сообщение от Аноним (-), 12-Окт-18, 08:11 
Очень проблематично - положить в более системную диру, предварительно повысив права через какой-нибудь соседний CVE. Благо их есть, особенно у тех кто систему не обновляет.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "В Ghostscript выявлены две новые критические уязвимости"  –2 +/
Сообщение от iPony (?), 12-Окт-18, 08:38 
> Очень проблематично - положить в более системную диру
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "В Ghostscript выявлены две новые критические уязвимости"  –2 +/
Сообщение от iPony (?), 12-Окт-18, 08:39 
> Очень проблематично - положить в более системную диру

$TEMP

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "В Ghostscript выявлены две новые критические уязвимости"  –1 +/
Сообщение от Аноним (-), 12-Окт-18, 10:27 
> $TEMP

На него тоже можно noexec, но это до чудиков реально не допирает как работают компьютеры. А приколитесь, изначально процессор вообще ничего не знает про файлы. Для него есть память, код и данные. При том в нейманах отделение одного от другого достаточно условное.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "В Ghostscript выявлены две новые критические уязвимости"  –1 +/
Сообщение от iPony (?), 12-Окт-18, 10:53 
Естественно можно, но на об этом речи не было. А для noexec на temp обязательно приведёт к определённым приключением, даже apt не будет работать (сражу вижу возражения — да, обходки есть).

> приколитесь

Вот это товарищу выше и пиши. А так да, мэлварь чисто хранимая в ОЗУ для всяких там ембедед линукс устройств, когда проблема с доступом на запись в постоянное хранилище — давно не новость.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

28. "В Ghostscript выявлены две новые критические уязвимости"  +/
Сообщение от Аноним (-), 13-Окт-18, 04:46 
> на temp обязательно приведёт к определённым приключением, даже apt не будет
> работать (сражу вижу возражения — да, обходки есть).

Если хочется закрутить гайки - сюрпризы возможны. Это удивительно? Собственно, половина системной защиты - в том чтобы хакерье обломалось с стандартной шаблонной атакой и наследило по максимуму. Этакое предварительное минирование территории.

> в ОЗУ для всяких там ембедед линукс устройств, когда проблема с
> доступом на запись в постоянное хранилище — давно не новость.

Это можно и на обычном компьютере практиковать, если хочется. А повысив права через CVE, которых в любой актуальной операционке хоть отбавляй (даже в Minix из ME находили) - потом можно что угодно в общем то делать. Другое дело что хакеры нынче в массе своей ленивы и хотят денежек по быстрому срубить. А для этого можно и без системных наворотов обойтись - спам, прокси и ддосы всего этого не требуют.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

32. "В Ghostscript выявлены две новые критические уязвимости"  +/
Сообщение от iPony (?), 14-Окт-18, 14:37 
Спасибо, КЭП.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

14. "В Ghostscript выявлены две новые критические уязвимости"  –2 +/
Сообщение от iPony (?), 12-Окт-18, 08:42 
>  Что-то более продвинутое, что требует загрузки payload'а из сети, ИМХО будет проблематичнее заякорить

Ну в .bashrc запиши 📝 и радуйся

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

3. "В Ghostscript выявлены две новые критические уязвимости"  +1 +/
Сообщение от Аноним (3), 11-Окт-18, 11:44 
> такой файл будет обработан в Ghostscript, так как MIME-тип
> распознаётся по содержимому, а не полагаясь на расширение

ди6илы, 6л...
Казалось бы, ну каким альтернативноодаренным надо быть, чтобы всунуть неотключаемое автомагическое разспознавание "по содержимому" в специфический инструмент, совершенно не предназначенный для альтернативно-одаренных?

но, разумеется, альтернативно-одаренные и сейчас эту нужнейшую и полезнейшую функциональность не уберут из кода.

на этом фоне мелкие ошибки из-за неаккуратной обработки исключений в почти-полных языках являются ерундой, можно не тратить время на патчинг.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В Ghostscript выявлены две новые критические уязвимости"  +1 +/
Сообщение от Аноним (5), 11-Окт-18, 13:16 
>Казалось бы, ну каким альтернативноодаренным надо быть, чтобы всунуть неотключаемое автомагическое разспознавание "по содержимому" в специфический инструмент, совершенно не предназначенный для альтернативно-одаренных?

юниксвей забыт и предан забвению.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "В Ghostscript выявлены две новые критические уязвимости"  –2 +/
Сообщение от kai3341 (ok), 12-Окт-18, 03:59 
> Казалось бы, ну каким альтернативноодаренным надо быть, чтобы всунуть неотключаемое автомагическое разспознавание "по содержимому" в специфический инструмент, совершенно не предназначенный для альтернативно-одаренных?

Я хочу сыграть с тобой в одну игру. У меня к тебе 2 вопроса:
1) Какое именно приложение и при каких условиях инициирует атаку?
2) Как это приложение настроить, чтобы не инициировать атаку?

Не ответишь на них правильно -- альтернативно-одаренным назначим тебя. Время пошло

Другое дело, что встраивание в сам ghostscript возможности выполнить любую команду -- это очень странно. Для pdflatex такое поведение включается специальным флагом и по умолчанию выключено

Я понимаю желание сделать универсальный продукт. И понимаю, что по неопытности можно не понять, как `фича` превращается в дырищу (например, SQL injection -- классика). Но как этот код прошёл review?

Также я понимаю желание разработчиков DE и imagemagic объединить как можно больше инструментов. Это правильно. И с их стороны косяка нет -- с их стороны всё работает штатно

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "В Ghostscript выявлены две новые критические уязвимости"  +/
Сообщение от Аноним (-), 12-Окт-18, 08:16 
> 2 вопроса:

Давай я за него отвечу?

> 1) Какое именно приложение и при каких условиях инициирует атаку?

Например генератор превьюшек документов, внезапно. Который пользовался ghostscript'ом.

> 2) Как это приложение настроить, чтобы не инициировать атаку?

Снести к чертовой бабушке, например. Но это компромисс: превьюхи документов и картинок в файлобраузилке видно уже не будет, соответственно. А если кто не знал, удобство и безопасность, увы, часто живут по разную сторону баррикад.

> Но как этот код прошёл review?

Да вообще, как в софте баги появляются... люди же давно уже боги и никогда не ошибаются. А тут вдруг на тебе.

> Также я понимаю желание разработчиков DE и imagemagic

Да при чем тут imagemagic вообще, если проблема в GS? В нем конечно своих проблем хватает, но не в этот раз.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "В Ghostscript выявлены две новые критические уязвимости"  –1 +/
Сообщение от пох (?), 12-Окт-18, 10:20 
> Да при чем тут imagemagic вообще, если проблема в GS? В нем

при том что если бы он не занимался ненужным угадавом - gs бы даже не вызвался бы, и его проблемы никому бы ущерба не причинили.

Наивных людей, разбирающих pdf'ы не на отдельной особо огороженной помойке, наверное, уже давно не осталось.

> конечно своих проблем хватает, но не в этот раз.

в этот, в этот.
с gs все понятно - этот софт невозможно написать надежно в принципе, и уж тем более - починить тот, который написан в дивные древние дни, когда пароль писали прямо в баннер, его можно только с большей или меньшей долей риска изолировать.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

19. "В Ghostscript выявлены две новые критические уязвимости"  +1 +/
Сообщение от Аноним (-), 12-Окт-18, 10:44 
> при том что если бы он не занимался ненужным угадавом - gs
> бы даже не вызвался бы, и его проблемы никому бы ущерба не причинили.

Ты хочешь чтобы монстры-переростки занимающиеся кучей дел не были бы монстрами-переростками? :)

> Наивных людей, разбирающих pdf'ы не на отдельной особо огороженной помойке, наверное, уже
> давно не осталось.

Так давно есть контейнеры и виртуалки. При том все это доступно в типовых дистрах по умолчанию. Там еще и всякие apparmor или selinux бывают, так что несчастная смотрелка pdf'ок типа evince лишний раз даже файло открыть не может порой. Ну или вот tor в убунте не может pluggable transport запустить. Потому что нефиг видите ли сетевой программе новые процессы запускать. Это по своему логично, но...

> с gs все понятно - этот софт невозможно написать надежно в принципе,

Собственно, проблема человечества в том что оно вдарилось в оверинжерению и порасплодило дофига всяких навороченных форматов и протоколов. За что и страдает. Если кто парсит пару дюжин сверхнавороченных форматов - удачи ему нигде не накосячить. А всякие околотекстовые форматы вообще лучший друг Bobby Tables'а.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "В Ghostscript выявлены две новые критические уязвимости"  +/
Сообщение от пох (?), 12-Окт-18, 11:03 
> Ты хочешь чтобы монстры-переростки занимающиеся кучей дел

да дело-то у imagic вполне ограниченное - портить изображение, ну и иногда зачем-то преобразовывать формат - альтернативный вариант, когда преобразовывалка работает только с каким-нибудь xbm, сопровождаясь букетом xbm2всякаяхрень и обратно - тебе вряд ли понравится, этим жутко неудобно пользоваться, особенно, когда оригинал потом нафиг и не уперся (мы это проходили двадцать лет назад с видео, и ffmpeg был счастьем на фоне тех инструментов, требовавших только yuv, который кроме них еще и не понимал ровно никто)

> Так давно есть контейнеры

это где S stands for security?
С виртуалками в свете модных новых интеловских проблем - не сильно легче. Физическая изоляция - дорого и тяжело фэйловерить если что.

> Там еще и всякие apparmor или selinux бывают

пробовал писать модули к тому и к другому (не audit2allow, отключающий уже до тебя сделанные проверки, а полноценный)? Я вот пробовал, нифига не понравилось.
А тут придется, авторы дистрибутива не в курсе, что у тебя в /srv/web/uploads/ можно читать, но не все, в ../preview можно только писать, и т д   и т п.

> Собственно, проблема человечества в том что оно вдарилось в оверинжерению и порасплодило дофига
> всяких навороченных форматов и протоколов.

ну вот в данном случае - проблема сопровождалась вполне приемлемым решением - описывать формат в части имени файла, а не угадывать, хотя бы пока не просят. Но почему-то авторы пошли другим путем, их даже аналогичный эксплойт в file (в file, Карл!) ничему не научил.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

29. "В Ghostscript выявлены две новые критические уязвимости"  +/
Сообщение от Аноним (29), 13-Окт-18, 09:38 
> да дело-то у imagic вполне ограниченное - портить изображение, ну и иногда
> зачем-то преобразовывать формат -

Ну так понапридумывали форматов... и вообще, GS много кем используется. Я вижу список dependants на ~4 страницы, они все в группе риска.

> альтернативный вариант, когда преобразовывалка работает
> только с каким-нибудь xbm, сопровождаясь букетом xbm2всякаяхрень и обратно - тебе
> вряд ли понравится, этим жутко неудобно пользоваться,

А смысл? Утверждается что anything -> xbm чем-то лучше чем anything -> anything? Парсинг формата то остается. А если его удалось декодировать без эксцессов, потом уже довольно безопасно. Массив пикселей допустим относительно безвредная штука сам по себе, им относительно безопасно кормить абы какой энкодер на самом деле. Возможны варианты, конечно, но это все же экзотика. Так что attack surface улучшится незначительно.

> видео, и ffmpeg был счастьем на фоне тех инструментов, требовавших только
> yuv, который кроме них еще и не понимал ровно никто)

Не помню что там цать лет назад было. Вероятно главное было вообще жевать форматы, хоть как-нибудь. По качеству кода он с точки зрения секурити здорово подтянулся когда гугл и прочие fuzz'ить начали. Разработчики узнали столько нового о том что их код оказыается умеет :)

>> Так давно есть контейнеры
> это где S stands for security?

Это где лишний барьер на пути взломщиков. Неудобный для них, специфичный, часто меняемый, и потому требующий усилий по обходу и нестабильный в эксплойтах. И при всем этом - легко настраивается админом. Получается хорошее плечо в пользу админа а не хакера. Это на порядки проще какого-нибудь apparmor или тем более selinux, с которыми админ сношается гораздо дольше, чем хакер.

> С виртуалками в свете модных новых интеловских проблем - не сильно легче.

Известные интеловские проблемы те кто в здравом уме и работает с внешними данными запатчили. Там правда и софт по хорошему патчить надо от спектров и проч, и в виртуалках, и на хосте. Но эксплуатацию спектров сложно не заметить.

Если лепить окружение "для себя" а не "на продажу" - создающий окружение себе не враг, поэтому влепит патченые ядро и софт, если оно внешние данные жует (а их так или иначе жуют все) и безопасность вдруг интересовала.

> Физическая изоляция - дорого и тяжело фэйловерить если что.

Ты ценный кадр, тебя конкурентам надо засылать. Всегда придумаешь как сделать долго, дорого и геморно. Отличный способ от конкурентов без палива отделаться.

> пробовал писать модули к тому и к другому (не audit2allow, отключающий уже
> до тебя сделанные проверки, а полноценный)?

Да нафиг мне это счастье? Нарезал себе контейнеров и VM - и удачи хаксорам пробить до конца и не слетать с катушек при этом. Идея в том что окружение скомпоновано так что там есть только данные которые необходимы. И нифига более. Пусть мне будет просто и удобно, а хакерам по возможности наоборот. Для интерактива - firejail, для неинтерактива системд. И никто не мешает это в виртуалке к том же сделать.

> /srv/web/uploads/ можно читать, но не все, в ../preview можно только писать,
> и т д   и т п.

Да мне пофиг чего там кто в курсе. Я могу сам перекомпоновать/скомпоновать окружение. Даже без apparmor и selinux, ибо контейнерами (включая фичи системды), vm и firejail (для десктопов и прочего интерактива) это делается явно проще, долботни хакеру добавляет, а шансы на успех здорово снижаются. При маргинальных затратах денег, времени и сил и умеренном оверхеде, если с умом делать.

> ну вот в данном случае - проблема сопровождалась вполне приемлемым решением -
> описывать формат в части имени файла, а не угадывать, хотя бы пока не просят.

Не спасет от полного хлама внутри файла, дурачащего парсер. Само по себе смотрение что за тип файла - даже относительно безопасно по сравнению с разбором навороченного формата. Конечно факап везде может случиться, но вот конкретно это - сложно назвать основным источником проблем. И если почитать новость - проблемы будут при попытке парсить документ. А парсить документ может и thumbnailer, чтобы на десктопе или в файлманагере превьюху показать. Так что даже открывать документ не потребуется. Если что - такие вещи и винда делает, и, собственно, они не раз получали за это дело проблем на свою бошку.

> Но почему-то авторы пошли другим путем, их даже
> аналогичный эксплойт в file (в file, Карл!) ничему не научил.

Да я так смотрю - народ вообще любит оттаптывать баянные грабли. До сих пор полно чудиков покупается на банальное ../../../../ в пути. Или вызывают внешнюю прогу для обработки, с аргументом типа имени файла компонуемого юзером. А имя файла видите ли таким креативным может быть, в POSIX там все что угодно кроме 0x00 и /. Много ли программ готовы к тому что в ИМЕНИ файла будет например 0x0d, 0x0a? Ну нет, каких-нибудь сишников таким дешевым трюком может и не получится купить, но вот например 90% шелскриптеров и т.п. на это купятся.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "В Ghostscript выявлены две новые критические уязвимости"  –1 +/
Сообщение от пох (?), 12-Окт-18, 11:07 
ps: но контекстом для gs надо бы, пожалуй, озаботиться
чисто на всякий случай
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

26. "В Ghostscript выявлены две новые критические уязвимости"  +/
Сообщение от kai3341 (ok), 13-Окт-18, 00:53 
>> Но как этот код прошёл review?
> Да вообще, как в софте баги появляются... люди же давно уже боги
> и никогда не ошибаются. А тут вдруг на тебе.

Так это не случайная ошибка же. Случайно дать возможность исполнять произвольный код by design нереально)

>> Также я понимаю желание разработчиков DE и imagemagic
> Да при чем тут imagemagic вообще, если проблема в GS? В нем
> конечно своих проблем хватает, но не в этот раз.

imagemagic всего лишь звено в этой цепочке. Генератор превьюх ведь не запускает GS сам -- он передаёт управление imagemagic. Со своей стороны imagemagic прав -- magic-типы заслуживают больше доверия, чем расширения. Инструмент (GS) задействуется при его наличии.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

30. "В Ghostscript выявлены две новые критические уязвимости"  +/
Сообщение от Аноним (29), 13-Окт-18, 09:47 
> Случайно дать возможность исполнять произвольный код by design нереально)

Просто многие вещи, особенно старые, не создавались с security in mind. Ну вон в WMF вообще можно было принести машинный код. Фича это такая была. И те кто честно следовал спекам на формат (в основном сам MS) очень сильно радовались, когда хакерье накопало давно всеми забытую фичу и начало раздавать правильные файлы везде и всюду, например, в вебе. Где браузер чего доброго это попытается показать (и выполнит обработчик) вообще не спрашивая юзера про всякие глупости.

Это же и unix way частично касается. Вызывать кучу программ из скриптов и перекидываться между ними данными - это круто и гибко. Но вот устойчивость этого процесса к враждебно настроенному источнику данных - весьма паршивая, например. Там довольно много чего может пойти не так.

> imagemagic всего лишь звено в этой цепочке. Генератор превьюх ведь не запускает
> GS сам -- он передаёт управление imagemagic.

Вот это - совершенно не обязательно. И так огульно за все генераторы превьюх расписываться как они кого вызывают - форменное донкихотство. И вообще см. выше, тех кто GS пользуется я 4 страницы насчитал. Я бы не рискнул утверждать что они все imagemagic зовут. А вот GS они точно зовут, раз он в зависимостях есть.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

10. "В Ghostscript выявлены две новые критические уязвимости"  –1 +/
Сообщение от Аноним (10), 12-Окт-18, 08:29 
>  Но как этот код прошёл review?

Я бы задался вопросом, как изменить то, почему этого ревью _нет_?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "В Ghostscript выявлены две новые критические уязвимости"  –1 +/
Сообщение от пох (?), 12-Окт-18, 09:59 
купить машину времени

(кстати, заодно сравнишь - много ли пользы принесли бестолковые code review и бесконечные тесты в сравнении с затраченным на это временем)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "В Ghostscript выявлены две новые критические уязвимости"  –2 +/
Сообщение от пох (?), 12-Окт-18, 10:14 
> Какое именно приложение и при каких условиях инициирует атаку?

загрузчик юзерских фотографий, например.
(необязательно художественных - это могут быть повреждения автомобиля при ДТП внутри сайта страховой - кстати, его многие хотят поломать)

> Как это приложение настроить, чтобы не инициировать атаку?

выпилить из используемого им imagemagic  gs, раз его авторы неспособны на тривиальные умозаключения, что не всякая автоматизация нужна и должна быть применена, особенно - без спросу, даже после целого ряда однообразных эксплойтов.

И обрабатывать файлы строго по именам. Если внутри png оказался pdf - значит юзеру не повезло, он его не увидит, и не должен. Софт не должен заниматься подобным автоугадавом, для того и предусмотрены у имен файлов - расширения. Если какой-то кривой сканер такое производит - значит он бракованный и юзера нужно заставить от него отказаться, а не выносить за ним горшок.

> Другое дело, что встраивание в сам ghostscript возможности выполнить любую команду -- это очень
> странно.

это постскрипт, детка, может и не тьюринг-полный язык, но близкий к таковому.
К тому же черезмерно сложный и запутанный, поэтому надежный интерпретатор написан будет примерно никогда.

P.S. теоретически, наверное, можно собрать у себя десяток imagemagic'ов под все распространенные форматы, обслуживающие строго ограниченный их набор. Наверное, жить с этим зоопарком проще, чем вручную удалять код, распознающий что не попадя.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

20. "В Ghostscript выявлены две новые критические уязвимости"  +/
Сообщение от Аноним (-), 12-Окт-18, 10:53 
> загрузчик юзерских фотографий, например.

До него дело даже не дойдет - тебя поимеют еще тогда когда ты превьюху этого добра генерил, шарясь по дире с фотами. Если у тебя 500 фот в дире, ты наверное даты с точностью до секунд наизусть не заучивал, а 500 фот наугад клацать - сам понимаешь. Значит навороченный парсер попробует прожевать пару дюжин сложных форматов. И то что при этом никто нигде не накосячит - ну вот вообще совсем не факт. Вспомним WMF файлы, классика! И ведь сколько лет жило себе?

> это постскрипт, детка, может и не тьюринг-полный язык, но близкий к таковому.

Через добрецо типа ps вообще можно послать в принтеры чудную "распечатку" с фирмвар апдейтом...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "В Ghostscript выявлены две новые критические уязвимости"  –1 +/
Сообщение от пох (?), 12-Окт-18, 11:06 
>> загрузчик юзерских фотографий, например.
> До него дело даже не дойдет - тебя поимеют еще тогда когда
> ты превьюху этого добра генерил, шарясь по дире с фотами. Если

ну, собственно, превьюху при загрузке он и создает, что ж еще.

> у тебя 500 фот в дире, ты наверное даты с точностью

у меня они автокаталогизируются, но, сам понимаешь, в конце-концов наступает таки неприятный момент, когда файл приходится открывать - причем на сервере, ладно б у юзера в браузере, там все уже привыкли к untrusted input.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

31. "В Ghostscript выявлены две новые критические уязвимости"  +/
Сообщение от Аноним (-), 13-Окт-18, 10:17 
> ну, собственно, превьюху при загрузке он и создает, что ж еще.

Я не понимаю кто такой "загрузчик юзерских фотографий". Сценарий с авто-поимением который я себе представляю - как-то так:

Есть файлманагер типа проводника, он обычно по dbus просит генератор превьюх слепить ему превьюхи для того и этого. Генераторов превьюх в природе более 1, в принципе кто угодно может подсесть на dbus и вывесить этот интерфейс. Как там он делает превьюху документов, которые уместно в GS скармливать - очень отдельный вопрос. Может через либу какую, может через какие-то программы, способов бесконечно и чего всем дался именно image magic я не вдупляю. Для GS я нашел более 4 страниц программ и либ которые им как-то пользуются. Это реверс-лукап по зависимостяс пакетов, всего лишь, так что не включает в себя программы и либы которых не было в репах дистра.

> у юзера в браузере, там все уже привыкли к untrusted input.

Ага, привыкли... мозилла так рассказывала про то как переписанный на JS просмотрщик станет безопасным. Ну им кто-то типа equation и подогнали input. В виде JS. Мозилла еще и перегоняют PDFы в JS. Ну вот такой странный способ показа pdf у них. Сперва пару минут истошно тупят, делая из пдфины большой ява скрипт. Потом его выполняют. В этом случае их парсер немного обдурили, так что он просто получал сразу яваскрипт на вход. Ну и конечно выполнял его. Это было бы не так страшно, но бонусом они посадили баг позволяющий этому скрипту закосить под что-то типа части просмотрщика. И вывалиться в привилегированный контекст. А вот там оно может уже например шариться по всему диску, читая файлы. Ну equation и сделали сканер винчей, кроссплатформенный при том. Шарится по всему диску, ищет чего ценного есть. Тырит если найдет. Список ценностей довольно длинный, в основном логины,пароли,ключи,креды,прокси,ну и прочий потенциально интересный материалец, статистически часто встречающийся у "интересных личностей". Вот фото котят их не интересовали, это да. Они все-равно в социалках открыто вывалены, в отличие от какого-нибудь ключа ssh к вашему серверу. А вот возможность зайти на чей-то сервак без спроса - достаточно весело уже. При том лох даже и не заметит что у него ключ умыкнули, ведь для этого не требовалось ... ничего. Просто на сайт зайти неудачно.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "В Ghostscript выявлены две новые критические уязвимости"  +/
Сообщение от KonstantinB (??), 13-Окт-18, 04:04 
>  может и не тьюринг-полный язык, но близкий к таковому.

Цитаты великих людей.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

25. "В Ghostscript выявлены две новые критические уязвимости"  +/
Сообщение от Orduemail (ok), 12-Окт-18, 18:14 
> Я хочу сыграть с тобой в одну игру.

О, давай!

> 1) Какое именно приложение и при каких условиях инициирует атаку?

Если данную атаку инициирует приложение, но всяко не на стороне клиента. Да и скорее всего это не приложение: если человек скачивает специально подготовленный файлик с http-сервера, то глупо ведь говорить, что атака инициирована http-сервером?

> 2) Как это приложение настроить, чтобы не инициировать атаку?

В силу предыдущего ответа -- никак. Нет приложения инциирующего атаку.

> Не ответишь на них правильно -- альтернативно-одаренным назначим тебя.

Единственный альтернативно-одарённый тут -- это ты. Атака инициируется атакующим. Всё остальное, в том числе и дырявые приложения на стороне клиента -- не инициаторы, а объекты атаки. И если ты уж лезешь в поле it-безопасности со своими экспертными суждениями, ты хотя бы за языком-то следи, чтобы не пороть совсем уж чуши.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру