Technischer Support
Dokumentation
Anmeldung
Kontakt
In der Ghostscript-Bibliothek, einem weit verbreiteten Tool auf Linux-Systemen, wurde eine schwerwiegende Sicherheitslücke für die Remotecodeausführung (RCE) entdeckt. Diese als CVE-2024-29510 verfolgte Schwachstelle wird derzeit in Angriffen ausgenutzt und stellt ein ernstes Risiko für zahlreiche Anwendungen und Dienste dar.
Ghostscript ist ein leistungsfähiges und vielseitiges Werkzeug für die Verarbeitung von PostScript- und PDF-Dateien. Es ist auf vielen Linux-Distributionen vorinstalliert und in verschiedene Dokumentenkonvertierungssoftware integriert, darunter ImageMagick, LibreOffice, GIMP, Inkscape, Scribus und das Drucksystem CUPS.
CVE-2024-29510 - Die Ghostscript-Sicherheitslücke
Bei der Sicherheitslücke CVE-2024-29510 handelt es sich um einen Format-String-Fehler, der alle Ghostscript-Installationen ab 10.03.0 betrifft. Diese Sicherheitslücke ermöglicht es Angreifern, die -dSAFER-Sandbox zu umgehen, eine Schutzmaßnahme, die standardmäßig aktiviert ist. Ungepatchte Versionen von Ghostscript verhindern nicht, dass nach der Aktivierung der Sandbox Änderungen an Uniprint-Geräteargumentenstrings vorgenommen werden. Infolgedessen können Angreifer risikoreiche Operationen wie Befehlsausführung und Datei-E/A durchführen, die die Sandbox eigentlich blockieren sollte.
Auswirkungen und Verwertung
Die Sicherheitsumgehung, die durch diese Schwachstelle ermöglicht wird, ist besonders gefährlich. Sie ermöglicht Angreifern die Ausführung beliebiger Befehle und die Manipulation von Dateien auf dem Zielsystem unter Verwendung des Ghostscript-PostScript-Interpreters. Dies hat weitreichende Auswirkungen auf Webanwendungen und -dienste, die für die Dokumentkonvertierung und -vorschau auf Ghostscript angewiesen sind.
Angreifer nutzen die Ghostscript-Schwachstelle aktiv aus, indem sie EPS-Dateien (PostScript) als JPG-Dateien (Bilder) getarnt verwenden. Durch diese Technik erhalten sie Shell-Zugang zu anfälligen Systemen. Der Entwickler Bill Mill betonte die Schwere des Problems und erklärte: "Wenn Sie Ghostscript *irgendwo* in Ihren Produktionsdiensten einsetzen, sind Sie wahrscheinlich anfällig für eine schockierend triviale Remote-Shell-Ausführung und sollten es aktualisieren oder von Ihren Produktionssystemen entfernen."
Aufdeckung und Schadensbegrenzung
Codean Labs hat eine PostScript-Datei zur Verfügung gestellt, mit der Verteidiger feststellen können, ob ihre Systeme für CVE-2024-29510-Angriffe anfällig sind. Die Ausführung des folgenden Befehls mit der bereitgestellten Datei kann das Vorhandensein der Sicherheitslücke anzeigen:
ghostscript -1 -dNODISPLAY -dBATCH Cve-2024-29510_testkit.ps
Das Ghostscript-Entwicklungsteam hat die Sicherheitslücke im Mai geschlossen. Doch trotz des verfügbaren Fixes nutzen Angreifer weiterhin ungepatchte Systeme aus. Codean Labs empfiehlt, Ghostscript auf Version 10.03.1 zu aktualisieren, um das Risiko zu minimieren. Wenn die neueste Version für Ihre Distribution nicht verfügbar ist, suchen Sie nach einer gepatchten Version, die diese Schwachstelle behebt, da viele Distributionen wie Debian, Ubuntu und Fedora Updates veröffentlicht haben.
Schlussfolgerung
Die aktive Ausnutzung dieser Ghostscript-Schwachstelle unterstreicht die dringende Notwendigkeit rechtzeitiger Software-Updates und Sicherheits-Patches. Aufgrund der weiten Verbreitung von Ghostscript in der Dokumentenverarbeitung und bei Webdiensten stellt diese Schwachstelle eine erhebliche Gefahr dar. Systemadministratoren und Benutzer müssen sofort Maßnahmen ergreifen, um ihre Systeme zu schützen, indem sie Ghostscript auf die neueste gepatchte Version aktualisieren.
Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.
