Abo
  • IT-Karriere:

Sicherheitslücke: Ghostscript-Lücken gefährden Imagemagick und Linux-Desktops

Der Postscript-Parser von Ghostscript ist nicht besonders sicher, er wird jedoch an zahlreichen Stellen automatisiert aufgerufen. Damit lassen sich etwa Bildkonvertierungen mittels Imagemagick oder Linux-Dateimanager angreifen.

Artikel veröffentlicht am , Hanno Böck
Ein Exploit für eine Sicherheitslücke in Ghostscript wird direkt ausgeführt, wenn man die Datei im Dateimanager Nautilus unter Ubuntu anzeigt.
Ein Exploit für eine Sicherheitslücke in Ghostscript wird direkt ausgeführt, wenn man die Datei im Dateimanager Nautilus unter Ubuntu anzeigt. (Bild: TOSHIFUMI KITAMURA/AFP/Getty Images)

Tavis Ormandy von Googles Project Zero hat auf zahlreiche Sicherheitslücken in der Software Ghostscript hingewiesen. Die Lücken ermöglichen es, Postscript-Dateien zu erzeugen, die bei der Verarbeitung mit Ghostscript Shell-Befehle ausführen. Ein Ausnutzen dieser Lücken ist damit ausgesprochen trivial.

Stellenmarkt
  1. DCC Duisburg CityCom GmbH, Duisburg
  2. Advantest, Böblingen

Postscript ist ein Format für Dokumente, das faktisch eine komplette Programmiersprache enthält. Ghostscript ist die einzige verbreitete Open-Source-Implementierung des Postscript-Formats. Doch um dessen Qualität ist es offenbar nicht sonderlich gut bestellt. Informationen über mindestens elf verschiedene Sicherheitslücken hat Ormandy inzwischen an die Entwickler weitergeleitet.

Imagemagick führt Ghostscript automatisch aus

Nur wenige Nutzer dürften regelmäßig Postscript-Dateien manuell öffnen. Doch das größte Risiko dieser Lücke sind automatisierte Systeme. So ruft etwa die populäre Software Imagemagick automatisch Ghostscript auf, wenn sie eine Postscript-Datei verarbeitet. Imagemagick wird häufig beispielsweise von Webservices verwendet, um Bilder zu skalieren.

Dabei funktioniert der Angriff selbst dann, wenn die Datei eine andere Endung - beispielsweise .jpg - hat, da Imagemagick versucht, das Dateiformat automatisch zu erkennen. In der Konsequenz heißt das, dass jeder Service, der ungeprüfte Dateien an Imagemagick weiterreicht, verwundbar ist.

Einen Fix gibt es bislang nicht, als Workaround kann man jedoch in Imagemagick über die Policy-Konfiguration den Aufruf von Ghostscript unterbinden. In einer Warnung des CERT/CC findet man hierfür eine Beispielkonfiguration.

Angriff auf Dateimanager über Thumbnails

Doch der Angriff über Imagemagick ist nur ein mögliches Szenario, ein weiteres sind Dateimanager unter Linux. In einem Test gelang es uns, mit einem der von Ormandy bereitgestellten Beispiel-Exploits sowohl in Gnomes Dateimanager Nautilus als auch in KDEs Dolphin Code auszuführen. Dafür reicht es, im Dateimanager ein Verzeichnis zu öffnen, in dem sich die entsprechend manipulierte Postscript-Datei befindet.

Der Hintergrund: Die Dateimanager versuchen mittels der entsprechenden Dokumenten-Anzeigeprogramme (Evince in Gnome, Okular in KDE) ein Thumbnail für Postscript-Dateien zu erzeugen. Beide Programme verwenden im Hintergrund zum Parsen der Postscript-Daten wiederum die Ghostscript-Software.

Dieses Angriffsszenario erinnert in gewisser Weise an frühere Probleme in Linux-Systemen. Es gibt eine ganze Reihe von Tools unter Linux, die zahlreiche externe Programme mit teilweise zweifelhafter Sicherheit automatisiert aufrufen, neben Dateimanagern gilt das beispielsweise auch für Desktop-Suchsysteme wie Tracker oder Baloo oder für das Kommandozeilentool less.

Ubuntu deaktiviert Gnome-Sandbox

In Gnome versucht man inzwischen, entsprechende Thumbnail-Prozesse mittels der Software Bubblewrap in eine Sandbox zu verbannen. In Ubuntu hat man diese Funktion aber offenbar abgeschaltet. In unseren Tests funktionierte der Exploit selbst mit der jüngsten Ubuntu-Version 18.04.



Anzeige
Hardware-Angebote
  1. 135,00€ (Bestpreis!)
  2. täglich neue Deals bei Alternate.de
  3. mit Gutschein: NBBGRATISH10

JouMxyzptlk 26. Aug 2018

Nur ging es bei Windows 95 gleich in's Internet. Bei Amiga und Atari nicht so. Erst an...

Milebrega 25. Aug 2018

Es ist egal, ob man 100 mal im Jahre oder nie Postscript-Dokumente verarbeitet - für das...

Proctrap 24. Aug 2018

Ich nutze gerne Linux, quasi für alles. Dennoch bzw. gerade deswegen hoffe ich dass es...

RicoBrassers 24. Aug 2018

Vermutlich sind die "großen" Anwendungen nicht betroffen, da das Problem nicht an...

FreiGeistler 24. Aug 2018

Schau mal nach einem Packet namens "thumbler" oder so (bin gerade unterwegs...


Folgen Sie uns
       


AMD Ryzen 9 3900X und Ryzen 7 3700X - Test

Wir testen den Ryzen 9 3900X mit zwölf Kernen und den Ryzen 7 3700X mit acht Kernen. Beide passen in den Sockel AM4, nutzen DDR4-3200-Speicher und basieren auf der Zen-2-Architektur mit 7-nm-Fertigung.

AMD Ryzen 9 3900X und Ryzen 7 3700X - Test Video aufrufen
Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. IT-Arbeitsmarkt Jobgarantie gibt es nie
  2. IT-Fachkräftemangel Freie sind gefragt
  3. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"

Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

    •  /