Ghostscript oluşturma platformunda CVE-2024-29510 olarak tanımlanan kritik bir güvenlik açığı keşfedildi.
Biçimlendirme dizesi güvenlik açığı olan bu kusur, 10.03.0’a kadar olan sürümleri etkiliyor ve saldırganların -dSAFER deneme alanını atlatarak uzaktan kod yürütmeye (RCE) olanak tanıyor.
Bu güvenlik açığının, Ghostscript’i belge dönüştürme ve önizleme işlevleri için kullanan web uygulamaları ve hizmetleri için önemli etkileri vardır.
Codeanlabs’ın bildirdiğine göre, Postscript yorumlayıcısı ve belge dönüştürme araç takımı olan Ghostscript, yazıcılar için bir UNIX aracı olmaktan çıkıp, otomasyon sistemlerinde yaygın olarak kullanılan bir bileşene dönüştü.
Sohbet programları ve bulut depolama hizmetleri de dahil olmak üzere birçok web uygulaması, kullanıcı tarafından sağlanan dosyaları işlemek ve dönüştürmek için Ghostscript’e güvenir.
Güvenliği, sanal alan oluşturma yoluyla artırma çabalarına rağmen, CVE-2024-29510 gibi güvenlik açıkları devam eden riskleri vurgulamaktadır.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Güvenlik açığı, Ghostscript’in biçim dizelerini işleme biçiminden yararlanarak saldırganın belleği değiştirmesine ve keyfi kod çalıştırmasına olanak sağlıyor.
Tehlikeli işlemleri kısıtlamak için tasarlanmış olan -dSAFER sanal alanı bu kusur sayesinde aşılabilir.
Bu güvenlik açığı, özel olarak hazırlanmış bir EPS dosyasının yüklenmesi veya istismarın bir LibreOffice belgesine gömülmesiyle tetiklenebildiği için özellikle endişe verici.
Exploit Kod Örneği
Aşağıda, bir saldırganın keyfi komutları nasıl yürütebileceğini gösteren exploit kodunun basitleştirilmiş bir versiyonu bulunmaktadır:
% Subtract a bit from the address to make sure we write a null over the field
/PtrTarget -3 PtrPathControlActive ptr_add_offset def
% And overwrite it!
IdxStackControllable PtrTarget write_to
% And now path_control_active == 0, so we can use %pipe% as if -dSAFER was never set :)
(%pipe%gnome-calculator) (r) fileBu kod, -dSAFER deneme ortamını etkin bir şekilde devre dışı bırakarak gnome-calculator komutunun yürütülmesine olanak tanır.
Komut saldırganın ihtiyaçlarına uygun olarak herhangi bir başka komutla değiştirilebilir.
Darbe
CVE-2024-29510’un etkisi çok geniş kapsamlıdır.
Belge işleme için Ghostscript kullanan web uygulamaları ve servisleri risk altındadır.
Saldırganlar bu güvenlik açığını kullanarak sunucuda keyfi kod çalıştırabilir ve bu da veri ihlallerine, sistem güvenliğinin ihlal edilmesine ve daha fazla saldırıya yol açabilir.
Bu açığın etkilerini azaltmak için Ghostscript’in 10.03.1 veya sonraki bir sürüme güncellenmesi büyük önem taşıyor.
Dağıtımınız için en son sürüm mevcut değilse, bu sorunu çözen yama sürümlerini kontrol edin.
Ayrıca, Ghostscript kurulumunuzun etkilenip etkilenmediğini doğrulamak için sağlanan test kitini kullanmayı düşünün:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
- 2024-03-14: Artifex Ghostscript sorun izleyicisine bildirildi.
- 2024-03-24: CVE-2024-29510 Mitre tarafından atandı.
- 2024-03-28: Sorun geliştiriciler tarafından kabul edildi.
- 2024-05-02: Ghostscript 10.03.1 sürümü yayımlanarak sorun hafifletildi.
- 2024-07-02: Güvenlik açığı detaylarının yayınlanması.
CVE-2024-29510’un keşfi, yazılım bağımlılıkları için düzenli güncellemelerin ve güvenlik değerlendirmelerinin önemini vurgulamaktadır.
Ghostscript kullanan kuruluşlar, olası istismarları önlemek için en son sürüme derhal güncelleme yapmalı ve kurulumlarını doğrulamalıdır.
Güvenliğe yönelik proaktif bir yaklaşım sürdürmek, bu tür güvenlik açıklarıyla ilişkili riskleri azaltmaya yardımcı olabilir.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo