Abo
  • Services:

Sicherheitslücke: Ghostscript-Lücken gefährden Imagemagick und Linux-Desktops

Der Postscript-Parser von Ghostscript ist nicht besonders sicher, er wird jedoch an zahlreichen Stellen automatisiert aufgerufen. Damit lassen sich etwa Bildkonvertierungen mittels Imagemagick oder Linux-Dateimanager angreifen.

Artikel veröffentlicht am , Hanno Böck
Ein Exploit für eine Sicherheitslücke in Ghostscript wird direkt ausgeführt, wenn man die Datei im Dateimanager Nautilus unter Ubuntu anzeigt.
Ein Exploit für eine Sicherheitslücke in Ghostscript wird direkt ausgeführt, wenn man die Datei im Dateimanager Nautilus unter Ubuntu anzeigt. (Bild: TOSHIFUMI KITAMURA/AFP/Getty Images)

Tavis Ormandy von Googles Project Zero hat auf zahlreiche Sicherheitslücken in der Software Ghostscript hingewiesen. Die Lücken ermöglichen es, Postscript-Dateien zu erzeugen, die bei der Verarbeitung mit Ghostscript Shell-Befehle ausführen. Ein Ausnutzen dieser Lücken ist damit ausgesprochen trivial.

Stellenmarkt
  1. Ober Scharrer Gruppe GmbH, Düsseldorf
  2. MBDA Deutschland, Schrobenhausen

Postscript ist ein Format für Dokumente, das faktisch eine komplette Programmiersprache enthält. Ghostscript ist die einzige verbreitete Open-Source-Implementierung des Postscript-Formats. Doch um dessen Qualität ist es offenbar nicht sonderlich gut bestellt. Informationen über mindestens elf verschiedene Sicherheitslücken hat Ormandy inzwischen an die Entwickler weitergeleitet.

Imagemagick führt Ghostscript automatisch aus

Nur wenige Nutzer dürften regelmäßig Postscript-Dateien manuell öffnen. Doch das größte Risiko dieser Lücke sind automatisierte Systeme. So ruft etwa die populäre Software Imagemagick automatisch Ghostscript auf, wenn sie eine Postscript-Datei verarbeitet. Imagemagick wird häufig beispielsweise von Webservices verwendet, um Bilder zu skalieren.

Dabei funktioniert der Angriff selbst dann, wenn die Datei eine andere Endung - beispielsweise .jpg - hat, da Imagemagick versucht, das Dateiformat automatisch zu erkennen. In der Konsequenz heißt das, dass jeder Service, der ungeprüfte Dateien an Imagemagick weiterreicht, verwundbar ist.

Einen Fix gibt es bislang nicht, als Workaround kann man jedoch in Imagemagick über die Policy-Konfiguration den Aufruf von Ghostscript unterbinden. In einer Warnung des CERT/CC findet man hierfür eine Beispielkonfiguration.

Angriff auf Dateimanager über Thumbnails

Doch der Angriff über Imagemagick ist nur ein mögliches Szenario, ein weiteres sind Dateimanager unter Linux. In einem Test gelang es uns, mit einem der von Ormandy bereitgestellten Beispiel-Exploits sowohl in Gnomes Dateimanager Nautilus als auch in KDEs Dolphin Code auszuführen. Dafür reicht es, im Dateimanager ein Verzeichnis zu öffnen, in dem sich die entsprechend manipulierte Postscript-Datei befindet.

Der Hintergrund: Die Dateimanager versuchen mittels der entsprechenden Dokumenten-Anzeigeprogramme (Evince in Gnome, Okular in KDE) ein Thumbnail für Postscript-Dateien zu erzeugen. Beide Programme verwenden im Hintergrund zum Parsen der Postscript-Daten wiederum die Ghostscript-Software.

Dieses Angriffsszenario erinnert in gewisser Weise an frühere Probleme in Linux-Systemen. Es gibt eine ganze Reihe von Tools unter Linux, die zahlreiche externe Programme mit teilweise zweifelhafter Sicherheit automatisiert aufrufen, neben Dateimanagern gilt das beispielsweise auch für Desktop-Suchsysteme wie Tracker oder Baloo oder für das Kommandozeilentool less.

Ubuntu deaktiviert Gnome-Sandbox

In Gnome versucht man inzwischen, entsprechende Thumbnail-Prozesse mittels der Software Bubblewrap in eine Sandbox zu verbannen. In Ubuntu hat man diese Funktion aber offenbar abgeschaltet. In unseren Tests funktionierte der Exploit selbst mit der jüngsten Ubuntu-Version 18.04.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 119,90€

JouMxyzptlk 26. Aug 2018

Nur ging es bei Windows 95 gleich in's Internet. Bei Amiga und Atari nicht so. Erst an...

Milebrega 25. Aug 2018

Es ist egal, ob man 100 mal im Jahre oder nie Postscript-Dokumente verarbeitet - für das...

Proctrap 24. Aug 2018

Ich nutze gerne Linux, quasi für alles. Dennoch bzw. gerade deswegen hoffe ich dass es...

RicoBrassers 24. Aug 2018

Vermutlich sind die "großen" Anwendungen nicht betroffen, da das Problem nicht an...

FreiGeistler 24. Aug 2018

Schau mal nach einem Packet namens "thumbler" oder so (bin gerade unterwegs...


Folgen Sie uns
       


Honor View 20 - Test

Das View 20 von Honor ist ein interessantes Smartphone: Für unter 600 Euro bekommen Käufer hochwertige Hardware im Oberklassebereich und eine der besten Kameras am Markt.

Honor View 20 - Test Video aufrufen
Magnetfeld: Wenn der Nordpol wandern geht
Magnetfeld
Wenn der Nordpol wandern geht

Das Erdmagnetfeld macht nicht das, was Geoforscher erwartet hatten - Nachjustierungen am irdischen Magnetmodell sind erforderlich.
Ein Bericht von Dirk Eidemüller

  1. Emotionen erkennen Ein Lächeln macht noch keinen Frohsinn
  2. Ökostrom Wie Norddeutschland die Energiewende vormacht
  3. Computational Periscopy Forscher sehen mit einfacher Digitalkamera um die Ecke

Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
Radeon VII im Test
Die Grafikkarte für Videospeicher-Liebhaber

Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
  2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
  3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

Enterprise Resource Planning: Drei Gründe für das Scheitern von SAP-Projekten
Enterprise Resource Planning
Drei Gründe für das Scheitern von SAP-Projekten

Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
Von Markus Kammermeier


      •  /