https://opennet.dev/openforum/vsluhforumID3/115555.html Исследователями безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, продолжено (https://www.openwall.com/lists/oss-security/2018/10/10/12) выявление (https://www.openwall.com/lists/oss-security/2018/10/09/4) критических уязвимостей в Ghostscript, позволяющих обойти ограничения sandbox-изоляции, применяемой при запуске в режиме "-dSAFER". Выявленные узявимости позволяют организовать выполнение в системе произвольного кода при обработке в Ghostscript специально оформленных документов. Исправления пока доступны только в виде патчей (1 (http://git.ghostscript.com/?p=ghostpdl.git;a=commit;h=34cc326eb2c5695833361887fe0b32e8d987741c),<br>2 (http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=a54c9e61e7d0),<br>3 (http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=a6807394bd94)), в дистрибутивах пакеты с Ghostscript ещё не обновлены.<br><br><br><br>Первая уязвимость (https://bugs.chromium.org/p/project-zero/issues/detail?id=1682& https://opennet.dev/openforum/vsluhforumID3/115555.html#32 Sun, 14 Oct 2018 11:37:31 GMT Спасибо, КЭП.<br><br> https://opennet.dev/openforum/vsluhforumID3/115555.html#31 Sat, 13 Oct 2018 07:17:57 GMT &gt; ну, собственно, превьюху при загрузке он и создает, что ж еще.<br><br>Я не понимаю кто такой "загрузчик юзерских фотографий". Сценарий с авто-поимением который я себе представляю - как-то так: <br><br>Есть файлманагер типа проводника, он обычно по dbus просит генератор превьюх слепить ему превьюхи для того и этого. Генераторов превьюх в природе более 1, в принципе кто угодно может подсесть на dbus и вывесить этот интерфейс. Как там он делает превьюху документов, которые уместно в GS скармливать - очень отдельный вопрос. Может через либу какую, может через какие-то программы, способов бесконечно и чего всем дался именно image magic я не вдупляю. Для GS я нашел более 4 страниц программ и либ которые им как-то пользуются. Это реверс-лукап по зависимостяс пакетов, всего лишь, так что не включает в себя программы и либы которых не было в репах дистра.<br><br>&gt; у юзера в браузере, там все уже привыкли к untrusted input. <br><br>Ага, привыкли... мозилла так рассказывала про то как переписанный на JS просмотрщик станет безопасным. Н https://opennet.dev/openforum/vsluhforumID3/115555.html#30 Sat, 13 Oct 2018 06:47:54 GMT &gt; Случайно дать возможность исполнять произвольный код by design нереально)<br><br>Просто многие вещи, особенно старые, не создавались с security in mind. Ну вон в WMF вообще можно было принести машинный код. Фича это такая была. И те кто честно следовал спекам на формат (в основном сам MS) очень сильно радовались, когда хакерье накопало давно всеми забытую фичу и начало раздавать правильные файлы везде и всюду, например, в вебе. Где браузер чего доброго это попытается показать (и выполнит обработчик) вообще не спрашивая юзера про всякие глупости.<br><br>Это же и unix way частично касается. Вызывать кучу программ из скриптов и перекидываться между ними данными - это круто и гибко. Но вот устойчивость этого процесса к враждебно настроенному источнику данных - весьма паршивая, например. Там довольно много чего может пойти не так.<br><br>&gt; imagemagic всего лишь звено в этой цепочке. Генератор превьюх ведь не запускает <br>&gt; GS сам -- он передаёт управление imagemagic. <br><br>Вот это - совершенно не обязательно. И так огульно за вс https://opennet.dev/openforum/vsluhforumID3/115555.html#29 Sat, 13 Oct 2018 06:38:31 GMT &gt; да дело-то у imagic вполне ограниченное - портить изображение, ну и иногда <br>&gt; зачем-то преобразовывать формат - <br><br>Ну так понапридумывали форматов... и вообще, GS много кем используется. Я вижу список dependants на ~4 страницы, они все в группе риска.<br><br>&gt; альтернативный вариант, когда преобразовывалка работает <br>&gt; только с каким-нибудь xbm, сопровождаясь букетом xbm2всякаяхрень и обратно - тебе <br>&gt; вряд ли понравится, этим жутко неудобно пользоваться, <br><br>А смысл? Утверждается что anything -&gt; xbm чем-то лучше чем anything -&gt; anything? Парсинг формата то остается. А если его удалось декодировать без эксцессов, потом уже довольно безопасно. Массив пикселей допустим относительно безвредная штука сам по себе, им относительно безопасно кормить абы какой энкодер на самом деле. Возможны варианты, конечно, но это все же экзотика. Так что attack surface улучшится незначительно.<br><br>&gt; видео, и ffmpeg был счастьем на фоне тех инструментов, требовавших только <br>&gt; yuv, который кроме них еще и не понимал ровно никто) <br><br> https://opennet.dev/openforum/vsluhforumID3/115555.html#28 Sat, 13 Oct 2018 01:46:57 GMT &gt; на temp обязательно приведёт к определённым приключением, даже apt не будет <br>&gt; работать (сражу вижу возражения &#8212; да, обходки есть).<br><br>Если хочется закрутить гайки - сюрпризы возможны. Это удивительно? Собственно, половина системной защиты - в том чтобы хакерье обломалось с стандартной шаблонной атакой и наследило по максимуму. Этакое предварительное минирование территории.<br><br>&gt; в ОЗУ для всяких там ембедед линукс устройств, когда проблема с <br>&gt; доступом на запись в постоянное хранилище &#8212; давно не новость.<br><br>Это можно и на обычном компьютере практиковать, если хочется. А повысив права через CVE, которых в любой актуальной операционке хоть отбавляй (даже в Minix из ME находили) - потом можно что угодно в общем то делать. Другое дело что хакеры нынче в массе своей ленивы и хотят денежек по быстрому срубить. А для этого можно и без системных наворотов обойтись - спам, прокси и ддосы всего этого не требуют.<br> https://opennet.dev/openforum/vsluhforumID3/115555.html#27 Sat, 13 Oct 2018 01:04:35 GMT &gt; может и не тьюринг-полный язык, но близкий к таковому.<br><br>Цитаты великих людей.<br> https://opennet.dev/openforum/vsluhforumID3/115555.html#26 Fri, 12 Oct 2018 21:53:38 GMT &gt;&gt; Но как этот код прошёл review?<br>&gt; Да вообще, как в софте баги появляются... люди же давно уже боги <br>&gt; и никогда не ошибаются. А тут вдруг на тебе.<br><br>Так это не случайная ошибка же. Случайно дать возможность исполнять произвольный код by design нереально)<br><br>&gt;&gt; Также я понимаю желание разработчиков DE и imagemagic <br>&gt; Да при чем тут imagemagic вообще, если проблема в GS? В нем <br>&gt; конечно своих проблем хватает, но не в этот раз.<br><br>imagemagic всего лишь звено в этой цепочке. Генератор превьюх ведь не запускает GS сам -- он передаёт управление imagemagic. Со своей стороны imagemagic прав -- magic-типы заслуживают больше доверия, чем расширения. Инструмент (GS) задействуется при его наличии.<br> https://opennet.dev/openforum/vsluhforumID3/115555.html#25 Fri, 12 Oct 2018 15:14:30 GMT &gt; Я хочу сыграть с тобой в одну игру.<br><br>О, давай!<br><br>&gt; 1) Какое именно приложение и при каких условиях инициирует атаку?<br><br>Если данную атаку инициирует приложение, но всяко не на стороне клиента. Да и скорее всего это не приложение: если человек скачивает специально подготовленный файлик с http-сервера, то глупо ведь говорить, что атака инициирована http-сервером?<br><br>&gt; 2) Как это приложение настроить, чтобы не инициировать атаку?<br><br>В силу предыдущего ответа -- никак. Нет приложения инциирующего атаку.<br><br>&gt; Не ответишь на них правильно -- альтернативно-одаренным назначим тебя.<br><br>Единственный альтернативно-одарённый тут -- это ты. Атака инициируется атакующим. Всё остальное, в том числе и дырявые приложения на стороне клиента -- не инициаторы, а объекты атаки. И если ты уж лезешь в поле it-безопасности со своими экспертными суждениями, ты хотя бы за языком-то следи, чтобы не пороть совсем уж чуши.<br> https://opennet.dev/openforum/vsluhforumID3/115555.html#24 Fri, 12 Oct 2018 08:07:53 GMT ps: но контекстом для gs надо бы, пожалуй, озаботиться<br>чисто на всякий случай<br>