Linux sistemlerinde yaygın olarak kullanılan Ghostscript belge dönüştürme araç setindeki bir uzaktan kod yürütme güvenlik açığı şu anda saldırılarda kullanılıyor.
Ghostscript birçok Linux dağıtımına önceden yüklenir ve ImageMagick, LibreOffice, Gimp, Inkscape, Scribus ve Cups Baskı Sistemi dahil olmak üzere çeşitli belge dönüştürme yazılımı tarafından kullanılır.
CVE-2024-29510 olarak izlenen bu format Dize Güvenlik Açığı Tüm Ghostscript 10.03.0 ve önceki kurulumları etkiler. Saldırganların, Sandbox etkinleştirildikten sonra uniprint aygıt argüman dizelerinde değişiklikleri önleyemediğinden, saldırganların -dsafer sanalbox'tan (varsayılan olarak etkin) kaçmalarını sağlar.
Bu güvenlik bypass, kum havuzunun genellikle engelleyeceği Ghostscript PostScript tercümanını kullanarak komut yürütme ve dosya G/Ç gibi yüksek riskli işlemleri gerçekleştirmelerine izin verdiği için özellikle tehlikelidir.
Güvenlik güvenlik açığını keşfeden ve bildiren Codean Labs güvenlik araştırmacıları, "Bu güvenlik açığının web uygulamaları ve belge dönüştürme ve önizleme işlevlerini sunan diğer hizmetler üzerinde önemli bir etkisi var.
"Çözümünüzün (dolaylı olarak) Ghostscript'ten yararlanıp kullanılmadığını ve eğer öyleyse en son sürüme güncellediğini doğrulamanızı öneririz."
Codean Labs ayrıca, savunucuların sistemlerinin CVE-2023-36664 saldırılarına aşağıdaki komutla çalıştırarak savunmasız olup olmadığını tespit etmesine yardımcı olabilecek bu PostScript dosyasını da paylaştı:
Ghostscript geliştirme ekibi Mayıs ayında güvenlik kusurunu yamalarken, Codean Labs iki ay sonra teknik ayrıntılar ve kavram kanıtı istismar kodu içeren bir yazı yayınladı.
Saldırganlar, savunmasız sistemlere kabuk erişimi elde etmek için JPG (Image) dosyaları olarak kamufle edilen EPS (Postscript) dosyalarını kullanarak CVE-2024-29510 Ghostscript güvenlik açığından yararlanıyor.
Geliştirici Bill Mill, "Üretim hizmetlerinizde Ghostscript * herhangi bir yerde * varsa, muhtemelen şok edici önemsiz bir uzaktan kabuk yürütmesine karşı savunmasızsınız ve onu yükseltmelisiniz veya üretim sistemlerinizden kaldırmalısınız."
"Bu güvenlik açığına karşı en iyi azaltma, Ghostscript kurulumunuzu v10.03.1'e güncellemektir. Dağıtımınız en son Ghostscript sürümünü sağlamazsa, yine de bu güvenlik açığı için bir düzeltme içeren bir yama sürümü yayınlamış olabilir (örn. , Fedora), "Codean Labs eklendi.
Bir yıl önce, Ghostscript geliştiricileri başka bir kritik RCE kusurunu (CVE-2023-36664) yamaladı.
Yeni Regresshion Openssh RCE Bug Linux sunucularında kök verir
Cosmicsting Kususu, Adobe Ticaretinin% 75'ini Etkiler, Magento Siteleri
VMware, kritik venter rce güvenlik açığını düzeltir, şimdi yama
SMS saldırısına açık endüstriyel IoT cihazlarında yaygın olarak kullanılan modemler
Tellyouthepass fidye yazılımı, son PHP RCE kusurunu ihlal etmek için kullanıyor sunucular
Kaynak: Bleeping Computer