یک آسیبپذیری اجرای کد از راه دور در کتابخانه تبدیل اسناد Ghostscript وجود دارد که در سیستمهای لینوکسی به طور وسیع از آن استفاده میشود و به طور پیشفرض بر روی اکثر توزیعهای لینوکس نصب است. مهاجمان در حال بهرهبرداری از این آسیبپذیری با شناسه CVE-2024-29510 میباشند. این حمله با استفاده از فایلهای EPS (PostScript) انجام میشود که به عنوان یک عکس JPG خود را جا میزنند و پس از اجرا دسترسی shell برای مهاجم فراهم میشود.
کتابخانه Ghostscript که به طور پیشفرض بر روی اکثر توزیعهای لینوکس نصب است، توسط بسیاری از برنامهها مانند ImageMagick، LibreOffice، GIMP، Inkscape، Scribus و سیستم پرینت CUPS مورد استفاده قرار میگیرد. این آسیبپذیری به مهاجمان اجازه میدهد جعبه شنی -dSAFER را دور بزنند زیرا نسخههای وصله نشده Ghostscript در جلوگیری از تغییر در رشتههای آرگومان uniprint device بعد از فعال شدن جعبه شنی موفق نیستند. این حمله اجازه اجرای عملیاتی مانند اجرای کد و file I/O را با استفاده از مفسر Ghostscript Postscript فراهم میکند درحالی که معمولاً جعبه شنی باید جلوی آن را بگیرد.
برنامههای تحت وب و سایر سرویسهایی که تبدیل اسناد با کمک Ghostscript را فراهم میکنند تحت تاثیر این آسیبپذیری قرار دارند.
نسخههای تحت تاثیر
نسخه 10.03.0 و قبلتر کتابخانه Ghostscript تحت تاثیر این آسیبپذیری قرار دارد.
توصیههای امنیتی
جهت تشخیص آسیبپذیر بودن سیستم ابتدا کدهای زیر را در یک فایل به نام CVE-2024-29510_testkit.ps ذخیره نمایید:
سپس دستور زیر را اجرا نمایید:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
در صورت آسیبپذیر بودن پیغام زیر نمایش داده میشود:
در صورت آسیبپذیر بودن در توزیع ubuntu میتوانید با دستورات زیر سیستم را بهروزرسانی نمایید:
sudo apt update sudo apt full-upgrade
پس از اجرای دستورات فوق دوباره اسکریپت را اجرا میکنیم و مشاهده میکنیم که آسیبپذیری برطرف شده است:
منابع خبر:
[1] https://www.bleepingcomputer.com/news/security/rce-bug-in-widely-used-ghostscript-library-now-explo…
[2] https://vulnera.com/newswire/ghostscript-librarys-rce-bug-now-being-exploited-in-attacks
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-29510
- 99