Ghostscript是一款Adobe PostScript语言的解释器软件。可对PostScript语言进行绘图,支持PS与PDF互相转换。目前大多数Linux发行版中都默认安装,并移植到了Unix、MacOS、Windows等平台,且Ghostscript还被ImagineMagic、Python PIL和各种PDF阅读器等程序所使用。
8月21日,Google安全研究员Tavis Ormandy披露了多个GhostScript的漏洞,通过在图片中构造恶意PostScript脚本,可以绕过SAFER安全沙箱,从而造成命令执行、文件读取、文件删除等漏洞,其根本原因是GhostScript解析restore命令时,会暂时将参数LockSafetyParams设置为False,从而关闭SAFER模式。
受影响的系统版本
Ghostscript <= 9.23(全版本、全平台),目前官方暂未发布更新。
Ghostscript安全模式(SAFER mode)
Ghostscript包含一个可选的-dSAFER选项,设置该选项启动安全沙箱模式后,与文件相关的操作符将被禁止,具体作用有如下:
(1)禁用deletefile和renamefile操作符,能够打开管道命令(%pipe%cmd),同时只能打开stdout和stderr进行写入
(2)禁用读取stdin以外的文件
(3)设置设备的LockSafetyParams参数为True,从而防止使用OutputFile参数写入文件
(4)阻止/GenericResourceDir、/FontResourceDir、/SystemParamsPassword或/StartJobPassword被更改
下面是关于该选项的一个简单演示。
未加上-dSAFER参数时,成功读取了/etc/passwd文件:
根据前面grep的输出,找到“dev_old->LockSafetyParams = false; ”语句在函数restore_page_device()中,并在此处下断,运行程序输入PoC:
设置成像区域——legal(a4、b5、letter等也可以):
PostScript是一种“逆波兰式”(Reverse Polish Notation,也称为后缀表达式)的语言。简单来说就是操作数在前,操作符在后。PoC中这条语句是一条典型的PostScript异常处理语句,stopped操作符用于PostScript的异常处理,也就是说stopped执行前面的{}中给出的过程,如果解释器在执行该过程期间出现错误,它将终止该过程并执行stopped操作符之后{}中的过程。
null restore会引起类型检查错误(/typecheck error),同时restore的执行导致LockSafetyParams设置为False,stopped捕获到异常,弹出栈顶元素null,GS继续运行,但此时LockSafetyParams的值还没恢复为True。
OutputFile参数用于设置输出文件名,另外在Linux/Unix上,还可以通过设备%pipe%将输出发送到管道(Windows中也可以,需要使用两个%)。例如,要将输出通过管道传输到lpr可以使用:/OutputFile (%pipe%lpr)
查阅官方文档可知,%pipe%功能由popen函数支持,在调试中也能确认这一点:
截至笔者分析该漏洞时,官方还没修复该漏洞。Artifex Software,ImageMagick,Redhat,Ubuntu等厂商已声明受到此漏洞影响,其他平台暂时未对此漏洞进行说明,目前临时解决方案如下:
1. 卸载GhostScript;
2. 可在/etc/ImageMagick/policy.xml文件中添加如下代码来禁用PostScript、EPS、PDF以及XPS解码器:
PostScript Language Reference(third edition)
ImageMagick 漏洞利用方式及分析
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员