Новая уязвимость в Ghostscript

15.08.2019 13:07

Не прекращается череда уязвимостей (1, 2, 3, 4, 5, 6) в Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Как и прошлые уязвимости новая проблема (CVE-2019-10216) позволяет при обработке специально оформленных документов обойти режим изоляции "-dSAFER" (через манипуляции с ".buildfont1") и получить доступ к содержимому ФС, что можно использовать для организации атаки для выполнения произвольного кода в системе (например, через добавление команд в ~/.bashrc или ~/.profile). Исправление доступно в виде патча. За появлением обновления пакетов в дистрибутивах можно проследить на данных страницах: Debian, Fedora, Ubuntu, SUSE/openSUSE, RHEL, Arch, FreeBSD.

Напомним, что уязвимости в Ghostscript представляют повышенную опасность, так как данный пакет используется во многих популярных приложениях для обработки форматов PostScript и PDF. Например, Ghostscript вызывается в процессе создания миниатюр на рабочем столе, при фоновой индексации данных и при преобразовании изображений. Для успешной атаки во многих случаях достаточно просто загрузить файл с эксплоитом или просмотреть каталог с ним в Nautilus. Уязвимости в Ghostscript также можно эксплуатировать через обработчики изображений на базе пакетов ImageMagick и GraphicsMagick, передав в них JPEG или PNG-файл, в котором вместо картинки находится код PostScript (такой файл будет обработан в Ghostscript, так как MIME-тип распознаётся по содержимому, а не полагаясь на расширение).

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/51288-ghostscript

Ключевые слова: ghostscript

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (23)

1.1, Аноним (1), 13:22, 15/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Не удивительно. Давно сбираю себе систему без поддержки GhostScript (просто потому что могу) и cups со всем остальным. Конечно, приходится пострадать немножко, поскольку его пихают во весь бинарный роприетарный софт (всё для вашего удобства, очевидно). А для pdf... Ну, что ж, если в poppler будет уязвимость, так тому и быть. Могу только предложить xpdf использовать, да только okular дюже удобный.

2.2, Ноним (?), 13:42, 15/08/2019 [^] [^^] [^^^] [ответить]

+5 +/–

>Ну, что ж, если в poppler будет уязвимость, так тому и быть. Могу только предложить xpdf использовать

админы локалхоста как всегда:

>Poppler is a PDF rendering library based on the xpdf-3.0 code base.

https://poppler.freedesktop.org/

3.3, Аноним (1), 13:56, 15/08/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Как бы да, только xpdf сейчас уже 4+, а 3 может и 20 лет назад была (если верить файлу с исходниками, 2004 год). А какие ещё альтернативы? Он наверное единственный с pdf нормально работает.

4.8, Аноним (8), 17:30, 15/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
> Как бы да, только xpdf сейчас уже 4+, а 3 может и > 20 лет назад была (если верить файлу с исходниками, 2004 год). > А какие ещё альтернативы? Он наверное единственный с pdf нормально работает. poppler больше умеет оригинального xpdf4

2.5, Аноним (5), 15:43, 15/08/2019 [^] [^^] [^^^] [ответить]	+/–
Что за система у вас для ясности?

1.4, KonstantinB (ok), 14:59, 15/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Ну что поделать, когда придумывали postscript, видимо, казалось офигенной идеей сделать его тьюринг-полным языком программирования - всегда можно будет сделать что угодно. О безопасности в те годы особо не задумывались.

2.6, Hewlett Packard (?), 15:52, 15/08/2019 [^] [^^] [^^^] [ответить]	+/–
Ну и при чем здесь Тьюринг-полнота? В Lua, например, две CVE, и обе из-за Си, а совсем не из-за Lua.

3.7, Andrey Mitrofanov_N0 (??), 16:04, 15/08/2019 [^] [^^] [^^^] [ответить]

+2 +/–

> Ну и при чем здесь Тьюринг-полнота? В Lua, например, две CVE, и
> обе из-за Си, а совсем не из-за Lua.

В него пхают недовененные данные с интернетов? Да, этим он[о] отличается от gs. А если есть упоро ^W молодёжное прихожение, которое такое делает, то это проблема приложения, не "lua", конечно?

И да, разаработчики gs, кажется, под прошлой новостью об уязвимости анонимы брехали, объявили, что -- недоверенные данные не наша проблема.

Ау, коллеги, кто там это риносил? Эта новость тоже _не_ уязвимость?...

""Без удалённых уязвимостей! Ваще. Просто не включайте в розетку."" [модный тренд в безопасности]

4.9, ilyafedin (ok), 17:34, 15/08/2019 [^] [^^] [^^^] [ответить]	–3 +/–
Вот почему надо продвигать флатпаки, bubblewrap и прочее.

4.15, Hewlett Packard (?), 23:54, 15/08/2019 [^] [^^] [^^^] [ответить]	+/–
Пхают, но за пределы песочницы Lua VM выйти не получается.

3.10, KonstantinB (ok), 17:44, 15/08/2019 [^] [^^] [^^^] [ответить]	+/–
Произвольный LUA-скрипт не запустится у меня на компьютере сам по себе.

4.14, пох. (?), 21:59, 15/08/2019 [^] [^^] [^^^] [ответить]

+/–

так и gs не запустится сам по себе - его, для начала, еще и установить придется.

Но вот что делать тем, кто ЗНАЕТ зачем он его установил - и это именно обработка документов .eps и .pdf ?

5.16, Hewlett Packard (?), 23:55, 15/08/2019 [^] [^^] [^^^] [ответить]	+/–
Обрабатывать им eps и pdf аккуратно, огородив его. Для этого сейчас есть масса инструментов.

5.17, KonstantinB (ok), 00:40, 16/08/2019 [^] [^^] [^^^] [ответить]	+/–
Да нет, достаточно просто взять и открыть pdf в какой-нибудь гляделке, которая использует ghostscript, ничего об этом не зная. А часто просто достаточно открыть директорию с pdf-кой в файловом менеджере, который услужливо сгенерит превьюшку (ну и майнер биткоинов заодно запустит).

6.20, пох. (?), 09:59, 16/08/2019 [^] [^^] [^^^] [ответить]

–1 +/–

> А часто просто достаточно открыть директорию с pdf-кой в файловом менеджере

ну, этих-то мне и не жалко (нет у меня файловых менеджеров - неплохо обхожусь на большинстве систем. На редких исключениях - надеюсь, mc ничего такого делать (еще) не умеет?)

в принципе, у той же убунточки дефолтный конфиг imagick отключает ненужную автоматику и так просто - не откроется

1.11, Аноним (11), 19:54, 15/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вот поэтому, лучше бы файлы лежали в tex, скомпилировать быстро и на тебе pdf, заодно всегда можно посмотреть, из чего это pdf состоит

2.18, Аноним (18), 01:28, 16/08/2019 [^] [^^] [^^^] [ответить]	+1 +/–
>скомпилировать быстро >быстро Хоть сам себе не ври.

1.12, Аноним (12), 20:59, 15/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
> Например, Ghostscript вызывается в процессе создания Прекратите его вызывать! Найдите что-нибудь другое! Да и миниатюры эти никому не нужны, там ничего не разобрать!

1.13, Аномимо (?), 21:00, 15/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
миниатюры зло

2.19, Andrey Mitrofanov_N0 (??), 09:31, 16/08/2019 [^] [^^] [^^^] [ответить]

+/–

> миниатюры зло

имаджмаджик - добро.

"" Слон пляхой. Справка харёший. ""

1.21, Аноним (21), 21:18, 16/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Никогда такого не было, и вот опять. Ничего, camelot дропает ghostscript и переходит на pdfbox.

1.22, Аноним (22), 22:21, 16/08/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Когда уже найдут героя, который сделает хорошо всем пользователям для работы с принтерами. Вообще вопрос окучивает только Apple своим CUPS. Остальные что-то как-то вообще область игнорируют я так понимаю

1.23, Тот самый (?), 14:43, 17/08/2019 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> MIME-тип распознаётся по содержимому, а не полагаясь на расширение

Мыши плакали, кололись, но продолжали жрать кактус :-(

Ну сколько можно уже наступать на эти грабли? Похоже, кто-то насильно тащит эту идею. Это-же явная диверсия.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: