Eine Schwachstelle in der entfernten Codeausführung im Ghostscript-Toolkit zur Dokumentenkonvertierung, das auf Linux-Systemen weit verbreitet ist, wird derzeit in Angriffen ausgenutzt.
Ghostscript ist auf vielen Linux-Distributionen vorinstalliert und wird von verschiedenen Dokumentkonvertierungsprogrammen verwendet, darunter ImageMagick, LibreOffice, GIMP, Inkscape, Scribus und das Drucksystem CUPS.
Diese als CVE-2024-29510 verfolgte Format-String-Schwachstelle wirkt sich auf alle Ghostscript-Installationen ab 10.03.0 aus. Sie ermöglicht es Angreifern, die -dSAFER-Sandbox (standardmäßig aktiviert) zu umgehen, da ungepatchte Ghostscript-Versionen Änderungen an den Argumenten für Uniprint-Geräte nicht verhindern können, nachdem die Sandbox aktiviert wurde.
Diese Sicherheitsumgehung ist besonders gefährlich, da sie es ihnen ermöglicht, mit dem Ghostscript-Postscript-Interpreter risikoreiche Operationen wie Befehlsausführung und Dateieingabe/Ausgabe durchzuführen, die die Sandbox normalerweise blockieren würde.
"Diese Schwachstelle hat erhebliche Auswirkungen auf Webanwendungen und andere Dienste, die Dokumentenkonvertierung und Vorschaufunktionen anbieten, da diese oft Ghostscript unter der Haube verwenden", warnen die Sicherheitsforscher von Codean Labs, die die Sicherheitslücke entdeckt und gemeldet haben.
"Wir empfehlen zu überprüfen, ob Ihre Lösung (indirekt) Ghostscript verwendet, und wenn ja, diese auf die neueste Version zu aktualisieren."
Codean Labs hat auch diese Postscript-Datei zur Verfügung gestellt, die Verteidigern helfen kann, zu erkennen, ob ihre Systeme für CVE-2023-36664-Angriffe anfällig sind, indem sie sie mit dem folgenden Befehl ausführen:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.psBei Angriffen aktiv ausgenutzt
Während das Ghostscript-Entwicklungsteam die Sicherheitslücke im Mai behoben hat, veröffentlichte Codean Labs zwei Monate später einen Bericht mit technischen Details und Proof-of-Concept-Exploit-Code.
Angreifer nutzen die Ghostscript-Schwachstelle CVE-2024-29510 bereits in freier Wildbahn aus, indem sie als JPG-Dateien (Bilder) getarnte EPS-Dateien verwenden, um Shell-Zugriff auf anfällige Systeme zu erhalten.
"Wenn Sie ghostscript *irgendwo* in Ihren Produktionsdiensten einsetzen, sind Sie wahrscheinlich anfällig für eine schockierend triviale Remote-Shell-Ausführung und sollten es aktualisieren oder von Ihren Produktionssystemen entfernen", warnte der Entwickler Bill Mill.
"Die beste Schutzmaßnahme gegen diese Schwachstelle ist die Aktualisierung Ihrer Ghostscript-Installation auf Version 10.03.1. Wenn Ihre Distribution nicht die neueste Ghostscript-Version bereitstellt, könnte sie dennoch eine Patch-Version veröffentlicht haben, die einen Fix für diese Schwachstelle enthält (z. B. Debian, Ubuntu, Fedora)", fügte Codean Labs hinzu.
Vor einem Jahr haben die Ghostscript-Entwickler einen weiteren kritischen RCE-Fehler (CVE-2023-36664) gepatcht, der ebenfalls durch das Öffnen von in böser Absicht erstellten Dateien auf nicht gepatchten Systemen ausgelöst wird.
