关于Ghostscript SAFER沙箱绕过漏洞的分析

前言

Ghostscript是一款Adobe PostScript语言的解释器软件。可对PostScript语言进行绘图,支持PS与PDF互相转换。目前大多数Linux发行版中都默认安装,并移植到了Unix、MacOS、Windows等平台,且Ghostscript还被ImagineMagic、Python PIL和各种PDF阅读器等进程所使用。

漏洞描述

8月21日,Google安全研究员Tavis Ormandy披露了多个GhostScript的漏洞,通过在图片中构造恶意PostScript脚本,可以绕过SAFER安全沙箱,从而造成命令执行、文档读取、文档删除等漏洞,其根本原因是GhostScript解析restore命令时,会暂时将参数 LockSafetyParams 设置为False,从而关闭SAFER模式。

受影响的系统版本

Ghostscript <= 9.23(全版本、全平台),目前官方暂未发布更新。

漏洞细节

Ghostscript安全模式(SAFER mode)

Ghostscript包含一个可选的-dSAFER选项,设置该选项启动安全沙箱模式后,与文档相关的操作符将被禁止,具体作用有如下:

(1)禁用 deletefilerenamefile 操作符,能够打开管道命令( %pipe%cmd ),同时只能打开stdout和stderr进行写入

(2)禁用读取stdin以外的文档

(3)设置设备的 LockSafetyParams 参数为True,从而防止使用OutputFile参数写入文档

(4)阻止 /GenericResourceDir/FontResourceDir/SystemParamsPassword/StartJobPassword 被更改

下面是关于该选项的一个简单演示。

未加上 -dSAFER 参数时,成功读取了/etc/passwd文档:

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

加上 -dSAFER 参数后,出现invalidfileaccess错误:

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

漏洞验证

多个PostScript操作可以绕过-dSAFER提供的保护,这可以允许攻击者使用任意参数执行命令。

首先对PoC进行测试,在开启了安全沙箱的情况下(-dSAFER),可以成功执行任意shell命令:

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

使用ImageMagick工具中的 convert 命令测试PoC,可以看到ImageMagick同样受到影响:

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

在源码目录下使用命令“grep -r dSAFER”找到和该选项相关的操作,看到下面这段注释中说明了该选项具体功能——将 LockSafetyParams 设置为True。

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

再使用grep查看和LockSafetyParams相关操作,通过注释可知,这个布尔类型变的量值为True时,可以防止某些不安全的操作。同时在文档psi/zdevice2.c的第269行,该变量被设置为了False,且仅有此处修改了 LockSafetyParams 的值为False,因此可以猜测:PoC中某条PostScript语句解析时导致了这个改变。

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

调试分析

接下来使用GDB进行验证,首先设置好进程参数:

set args -q -sDEVICE=ppmraw -dSAFER -sOutputFile=/dev/null

根据前面grep的输出,找到“dev_old->LockSafetyParams = false; ”语句在函数 restore_page_device() 中,并在此处下断,运行进程输入PoC:

设置成像区域——legal(a4、b5、letter等也可以):

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

接着输入 {null restore} stopped {pop} if ,进程中断在此处: 

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

再对dev_old->LockSafetyParams变量设置观察点,继续运行进程,和预想的一样,LockSafetyParams的值在这里被改变了。

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

查看栈回溯,发现当前函数在一系列带有“interpret”的函数中被调用,从名称推断这些函数用于解析PostScript语句。

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

这里我们在#2处下断,观察到了解释器处理stopped、null、restore等关键字的过程,至此绕过SAFER沙箱过程就逐渐清晰了。

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

漏洞成因

现在让我们来看看 {null restore} stopped {pop} if 这条语句是如何绕过SAFER沙箱的。

PostScript是一种“逆波兰式”(Reverse Polish Notation,也称为后缀表达式)的语言。简单来说就是操作数在前,操作符在后。PoC中这条语句是一条典型的PostScript异常处理语句,stopped操作符用于PostScript的异常处理,也就是说stopped执行前面的{}中给出的过程,如果解释器在执行该过程期间出现错误,它将终止该过程并执行stopped操作符之后{}中的过程。

null restore 会引起类型检查错误(/typecheck error),同时restore的执行导致LockSafetyParams设置为False,stopped捕获到异常,弹出栈顶元素null,GS继续运行,但此时LockSafetyParams的值还没恢复为True。

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

值得一提的是,GhostScript的官方文档中提到了restore操作符存在导致绕过SAFER模式的风险。

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

漏洞利用

OutputFile参数用于设置输出文档名,另外在Linux/Unix上,还可以通过设备%pipe%将输出发送到管道(Windows中也可以,需要使用两个%)。例如,要将输出通过管道传输到lpr可以使用: /OutputFile (%pipe%lpr)

查阅官方文档可知,%pipe%功能由popen函数支持,在调试中也能确认这一点:

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

popen() 函数通过创建管道的方式,调用fork()启动一个子进程,并将传入popen()的命令送到/bin/sh以-c参数执行。可以通过在此处注入命令实现漏洞利用,如下图中演示的那样,另外将PostScript编码到图像中,可以在使用GhostScript的Web服务器上执行任意指令(例如服务器使用ImageMagick处理上传的图像时)。

关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析
关于Ghostscript SAFER沙箱绕过漏洞的分析

修复建议

截至笔者分析该漏洞时,官方还没修复该漏洞。Artifex Software,ImageMagick,Redhat,Ubuntu等厂商已声明受到此漏洞影响,其他平台暂时未对此漏洞进行说明,目前临时解决方案如下:

1. 卸载GhostScript;

2. 可在/etc/ImageMagick/policy.xml文档中添加如下代码来禁用PostScript、EPS、PDF以及XPS解码器:

<policy domain =“coder”rights =“none”pattern =“PS”/> 
<policy domain =“coder”rights =“none”pattern =“EPS”/> 
<policy domain =“coder”rights =“none”pattern =“PDF”/> 
<policy domain =“coder”rights =“none”pattern =“XPS”/>

参考资料

[1] More Ghostscript Issues: Should we disable PS coders in policy.xml by default?

[2] PostScript Language Reference(third edition)

[3] PostScript语言安全研究(ImageMagick新漏洞分析)

[4] ImageMagick 漏洞利用方式及分析

[5] Ghostscript官方文档

[6] A GHOST FROM POSTSCRIPT

*本文作者:alphalab,转载请注明来自FreeBuf.COM