[English]Ein Sicherheitsforscher hat ein Proof of Concept erarbeitet, mit dem eine als kritisch (CVSS Score 9.8) eingestufte Remote Code Execution-Schwachstelle CVE-2023-36664 in der breit (für PostScript und PDF-Anzeigen) eingesetzten GhostScript-Software ausgenutzt werden kann. Bedroht sind sowohl Linux als auch Windows-Systeme, wenn GhostScript vor Version 10.01.2 eingesetzt wird. Unter Windows könnte GhostScript z.B. über LibreOffice oder Bullzip PDF-Printer auf das System gekommen sein.
Anzeige
Was ist GhostScript?
Der GhostScript-Interpreter wurde ursprünglich von Peter Deutsch (kommerzielle Lizenz bei Artifed Software) entwickelt, steht aber frei für Linux, Unix, VMS, Windows, macOS, Mac OS Classic, MSDOS, OS/2 etc. zur Verfügung. Das Produkt ermöglicht PostScript und PDF-Dateien auf Bildschirmen oder Druckern darzustellen. Daher ist es in vielen PDF-Produkten (faktisch in allen PDF-Druckern und Editoren, aber auch in Gimp & Co.) integriert. Kritisch wird es, wenn Sicherheitslücken auftreten, die durch fremde Dokumente ausgenutzt werden können. GhostScript steckt in vielen Softwarepaketen, die PDF-Ausgaben erzeugen, drin.
RCE-Schwachstelle CVE-2023-36664 in GhostScript
Bereits zum 11. Juni 2023 hat Dave Truman von Kroll den Artikel Proof of Concept Developed for Ghostscript CVE-2023-36664 Code Execution Vulnerability zu einer Schwachstelle in GhostScript veröffentlicht. Die Kernpunkte seines Artikels, soweit sie für Nutzer von Interesse sind:
- In Ghostscript vor Version 10.01.2 gibt es eine RCE-Schwachstelle CVE-2023-36664. führt zur Codeausführung. Die kritische Schwachstelle (CVSS Score 9.8) kann beim Öffnen einer Datei für eine Codeausführung ausgenutzt werden.
- In Linux ist GhostScript meist in der Distribution dabei, um die PDF-Anzeige und PostScript-Drucken (CUPS-Drucksystem) zu ermöglichen.
- Windows-Open-Source-Produktivitäts- und Kreativitätswerkzeuge wie Inkscape, ImageMagick, Scribus, LibreOffice, Gimp etc. verwenden den Ghostscript-Windows-Port.
Artifex Ghostscript behandelt in betroffenen Versionen die Berechtigungsüberprüfung für Pipe-Geräte (mit dem Präfix %pipe% oder dem Präfix | Pipe-Zeichen) falsch. Das Kroll Cyber Threat Intelligence (CTI)-Team hat einen brauchbaren Exploit für diese Schwachstelle entwickelt und nutzt ihn, um die Erkennung zu verbessern.
Anzeige
Nutzer und Administratoren müssen die Version von Ghostscript aktualisieren, so dass die Schwachstelle beseitigt wird. Die Maintainer von Debian haben zum 3. Juli 2023 bereits aktualisierte Versionen der GhostScript-Library veröffentlicht (siehe). Bei anderen Linux-Distributionen dürfte GhostScript ebenfalls in aktualisierter Form bereitstehen.
Als Nutzer oder Administrator sollte man alle Anwendungen (speziell unter Windows), die irgendwie PDF-Dokumente bearbeiten können, darauf hin überprüfen, ob diese GhostScript verwenden. Dann bleibt nur die Suche, ob für das Paket ein Update verfügbar ist. Kroll hat auf Github Sigma-Regeln veröffentlicht, mit denen sich Angriffe über präparierte Daten erkennen lassen.
Anzeige
Hatten wir ein ähnliches Spielchen nicht erst vor gar nicht langer Zeit mit log4j? Problematisch ist ja vor allem wieder einmal, dass bei den meisten Programmen nicht die Abhängigkeit "installiere Ghostscript und halte es aktuell" gegeben ist, sondern man eher schauen muss, ob da nicht Ghostscript irgendwie inkludiert ist, so wie zum Beispiel nahezu jede Java-Anwendung mittlerweile ihr eigenes JRE mitbringt, was dann allerdings nicht unter Software -> Programme beziehungsweise dem Äquivalent erkennbar auftaucht. Es gibt Tage, da frage ich mich, wieso ich eigentlich nicht auf meinen Vater gehört habe: "Lern was Vernünftiges, Junge!"
Tja ich hatte mal was vernünftiges gelernt und bin dann zur IT gewechselt. Ich frage mich oft – warum nur. Der Stresslevel ist manchmal schon sehr hoch in Zeiten wie diesen
Geht ja noch weiter – WebView2 Runtime!
Diese 'Spezialisten' von Programmieren schmeißen dir das Teil auf die Platte (~500MB) ohne zu prüfen, ob das schon von einer anderen App installiert ist – vermutlich wieder irgendwelche Abhängigkeiten, die es nicht erlauben eine systemweite Installation zu nutzen (sieht man ja bei dem Chaos mit Java RJE).
Das Einzige, was ansatzweise (unter Windows) global funktioniert ist dotNet.
Oder Anwendungen, die die installierte Version von z.B. JRE abfragen und sich dann weigern, zu starten, wenn die installierte Version größer ist.
Anstatt auf größer gleich Version X abzufragen, wird auf gleich Version X abgefragt.
Ein Update der JRE ist damit unmöglich.
Wobei ich generell Java-Anwendungen meide.
Das Zeugs ist nur langsam.
Sprichst mir aus der Seele, ich habe in den letzten 10~15 Jahren keine Handvoll Java Programme "betreut" denen die installierte JRE "egal" war und sich nicht auf eine Version festgenagelt haben.
Ganz schlimm war "Deutsche Bank", die immer 1-2 Monat "hinter" dem aktuellen Release waren und wo man die Systeme in der Buchhaltung nicht patchen konnte aus dem Grund.
Verschärft wurde die Lage auch durch die geänderten Lizenzbedingungen von Oracle. Für kommerzielle Zwecke ist das JRE ja nicht mehr frei. Klar gibt es auch noch OpenJDK, aber viele Programme sind einfach bei den letzten freien Versionen stehen geblieben.
Das dürfte der Stand von vor ca. vier Jahren sein.
JRE 8 Branch hat sich aber auch verdammt lange gehalten. Seit etwas mehr als einem Jahr erhält es keine Bugfixes, aber noch bis 2030 Security Fixes.
Also ich verstehe gut, warum Unternehmen auf einen Java Branch von 2014 setzen.
Naja, JRE 8 ist immer noch aktuell (8 Update 371).
Es gibt noch keine JRE 9.
8u371 ist nicht aktuell.
aktuell sind:
Adopt Open Java 8u372-b07 LTS + Hotspot
Adopt Open Java 11.0.19+7 LTS + Hotspot
Adopt Open Java 17.0.7+7 LTS + Hotspot
Zusätzlich zu den LTS-Versionen 8, 11 und 17 gibt es noch 16, 18, 19, 20.
Downloads ("Weitere Plattformen und Versionen"):
adoptium[.]net/de
Ein weiteres Programm was Ghostscript enthält und relativ häufig auf Windows Systemen zum Einsatz kommen dürfte ist PDF24 Creator. Die neueste verfügbare Version ( 11.13.1 ) verwendet Ghostscript in der verwundbaren Version 10.1.1.0
Für den PDF24 Creator wurde am 14.07.2023 das Update auf die Version 11.13.2 veröffentlicht.
Mit dieser Version wurde Ghostscript auf Version 10.01.2 aktualisiert.
Changelog, siehe:
https://creator.pdf24.org/changelog/de.html
Auf der offiziellen Ghostscript Webseite ist weiterhin nur die fehlerhafte Version 10.01.2 vom 21.Juni 2023 vorhanden:
www[.]ghostscript[.]com/releases/gsdnld.html
Da pennt der Hersteller seit 10 Tagen, nachdem Debian bereits am 3.Juli 2023 die Lücke gefixt hat.
Auf meinem Win7 gibt es keine gswin*.*
Bedeutet das, ich bin von dem Fehler nicht betroffen oder wurde ghostscript irgendwo unsichtbar in andere Programme reingelinkt?
Dank der zentralen Verwaltung der shared Libraries ist Linux in solchen Fällen dem broken-by-Design-Windows überlegen, solange man kein SNAP, flatpak oder AppImage benutzt.
" solange man kein SNAP, flatpak oder AppImage benutzt."
Das ist nur die halbe Wahrheit, viele Programmprojekte verwenden die NMP-Libraries über die sich Fehler einschleusen können, aktuell MS-Edge, WordPress und Jenkins über 2 CVEs betroffen.
Es geht auch ohne solche Softwarerepositories zu verwenden schief.
10.01.2 ist die gefixte Version ohne den Fehler, daher nehme ich meinen obigen Kommentar zurück.
artifex[.]com/news/security-vulnerability-fixed-in-ghostscript-10.01.2
im aktuellen GIMP 2.10.34 vom 05.03.2023 ist z.b noch ghostscript 9.53.3 enthalten
Hab vorhin einen bug-issue bei GIMP eingestellt. Denen hat das mit dem CVE wohl bisher keiner erzählt.
Grundsätzlich ist das wohl der Preis, den Entwickler zahlen, wenn sie fremde APIs oder Bibliotheken verwenden. Es kommt halt erschwerdend hinzu, dass in der GNOME-Heimat so ein Problem für GIMP nicht besteht. Nur der Windows-Port kriegt den Ärger ab.
Danke, ist an mir vorbei gegangen – bzw. ich hatte angenommen, dass die jeweiligen Projekte die relevanten Security-Notes selbst verfolgen.
Und bis heute hat sich nichts getan…Immernoch die alte Version zum Download… komisch…
Kann mir einer sagen, ob die aktuell zum Download angebotene 10.01.2 den Fix hat, oder nicht? Das widerspricht sich alles.
Auf der NIST-Seite steht "Known Affected Software Configurations: Up to (including) 10.01.2"
Auf der Kroll-Seite steht hingegen "Vulnerability disclosed in Ghostscript prior to version 10.01.2 leads to code execution."
Edit: auf ghostscript.com steht June 27, 2023: Ghostscript/GhostPDL 10.01.2 release fixes CVE-2023-36664. CVE-2023-36664 affects all Ghostscript/GhostPDL versions prior to 10.01.2.
Also hoffe ich mal, das stimmt so und die NIST-Seite ist falsch…
Das auf der NIST-Seite hatte ich auch gesehen – und sogar bis 10.01.2 im Text stehen. Dann bin ich aber zum Schluss gekommen, dass die Entdecker der Schwachstelle von Kroll eher wissen, in welcher Version von Ghostscript das Ganze gefixt ist. Daher habe ich den Kroll-Text im Beitrag verwendet und die NIST-Aussage als fehlerhaft verortet.
Hat eigentlich schon mal jemand gefragt, warum ein Postscript-Interpreter beliebigen Programmcode ausführen kann? Bei einem MS-Office-Dokument würde das jetzt jeder hinterfragen. Hier ist man mucksmäuschen still, damit niemand merkt, dass Ghostscript quasi in jeder Standard-Installation (nicht: Minimal) von Linux automatisch enthalten ist. Aber auch nicht jeder Windows-Nutzer weiß, ob er Ghostscript hat oder nicht, da kommts halt auf die installierten Zusatzprogramme an.
Übrigens, das Team von Alma-Linux hat angekündigt, bald nicht mehr REL-kompatibel zu sein. Alle die auf Alma gesetzt haben, weil es REL kompatibel ist, und diese Kompatiblität für ihre Anwendung benötigen, sind damit bald aufgeschmissen. Der nächste Wechsel seit CentOS weg ist. Jetzt versucht sich SUSE an einer REL kompatiblen Variante. Mal sehen, ob das gut geht. Es lebe die Vielfalt der Linux-Distributionen!
Der Einwurf ist imho wenig zielführend – wenn ich es nicht gänzlich verpeilt habe, wird GhostScript von CPUS als Drucksystem zum Aufbereiten von Druckaufträgen benutzt. Problem ist das Piping, was wohl mit entsprechenden Systemrechten stattfindet.
Wenn ich GhostScript z.B. mit Bullzip PDF verwendet, wird mir ein PDF-Printer-Treiber bereitgestellt, der unter Windows mit Systemrechten laufen muss. Und dass GhostScript in jeder Standard Linux-Distribution dabei ist, dürfte aus meiner Sicht den Leuten in diesem Bereich bekannt sein.
"Wenn ich GhostScript z.B. mit Bullzip PDF verwendet, wird mir ein PDF-Printer-Treiber bereitgestellt, der unter Windows mit Systemrechten laufen muss."
Dann solltest Du von dem SCHROTT namens "Bullzip PDF" allergrössten Abstand halten!
0) der Windows-Spooler kann Druckertreiber mindestens seit Windows 10 mit Benutzerrechten ausführen;
1) unter früheren Versionen kann das jeder nicht völlig ahnungslose Frickler per "Impersonation" selbst implementieren — was zum Anlegen der Ausgabedatei ohnehin gemacht werden muss.
EINMAL mit Profis arbeiten!
Dein ähnlicher Post von vor vielen Jahren hat mich bewogen, Bullzip PDF nicht mehr zu installieren. Den seinerzeit genannten PDF-Printertreiber habe ich noch nicht getestet – kommt noch.
Ebenfalls testen/überprüfen kannst Du, dass die von den unfähigen Fricklern bei Artifex verbrochenen Installationsprogramme (IGITT: sowas machen nur ahnungslose Volltrottel; siehe auch https://skanthak.homepage.t-online.de/!execute.html) noch immer anfällig für DLL-Hijacking sind, und Dank "requireAdministrator" im eingebetteten Manifest "escalation of privilege" erlauben!
EINMAL mit Profis arbeiten!
@1ST1:
Das liegt aber nicht an AlmaLinux, sondern an IBM, denn die haben Red Hat gekauft und ändern jetzt das Lizenzmodell, wollen ihren Quellcode nicht mehr kostenlos rausgeben.
Zitat:
Künftig, so Red Hat, werde man die Quellen der RPM-Pakete für RHEL nicht mehr unter git.centos.org veröffentlichen, sondern nur noch an zahlende Kunden ausliefern.
www[.]heise[.]de/meinung/Kommentar-Erst-verteufeln-dann-selber-so-machen-Red-Hats-idiotischer-Murks-9204529.html
Wer braucht schon Red Hat, CentOS, Rocky Linux oder Alma Linux?
Für Server ist Debian oder SUSE Linux Enterprise ebenfalls sehr gut oder sogar besser geeignet, inklusive Support bei letzterem.
Für den Desktop inklusive Spiele kann man openSUSE Tumbleweed, Manjaro oder Tuxedo nehmen.
Für Internet surfen, emails und Filme, reicht auch Debian pur.
Zum Glück kann ein Konzern wie IBM nicht Linux kaputt machen, wenn IBM sich entschließt, einen proprietären Weg zu gehen.
Vielmehr wird es IBM Kunden kosten, die dann zu SUSE und Debian abwandern. Das ist auch bereits geschehen, wie man in den heise-Foren lesen kann.
Außerdem hast du 3 mal RHEL ohne H geschrieben. Ubuntu schreibst du auch nicht ohne u oder Windows ohne W.
Hat jemand eine Idee, wie ich z.B. GIMP sicher bekomme, denn da ist ja GhostScript als Bibliothek mit dabei (unter Windows).
Mir würde einfallen die GS Dateien zu löschen oder per NTFS Rechte wegnehmen. Hat halt dann entsprechende Einbußen in dem Bereich.
Hat jemand ne Lösung?
Gruß
Stefan
Dass Artifex just zum Bekanntwerden von CVE-2023-36664 dem Windows-Installer von Ghostscript die Fähigkeit zum Silent Install entzogen hat und so Admins des GPL-Pakets die Möglichkeit nimmt, ihre Clients mit ausgerolltem Ghostscript automatisiert zu updaten, hat schon ein Geschmäckle.
Honni soit qui mal y pense …
Naja, dieser Installer ist mit oder ohne silent install ein grauenhafter NSIS exe-Installer. Ich habe daher sowieso selbst ein richtiges MSI-Paket gebaut.
Das ist eigentlich nicht neu…bis und mit V10.0 ging das mit Silent Install noch, ab V10.01 ging das bereits nicht mehr…
Gibt es Empfehlungen?
Kann jemand einen guten und flexiblen PDF-Creator und PDF-Printer
empfehlen, der auch ScreenShots oder Bildschirmausschnitte berücksichtigt?
Und sofern überhaupt notwendig
mit dem neuesten, abgesicherten Ghostscript funktioniert?
Als PDF-Drucker nutzen wir seit Jahren den eDocPrintPro.
Er ist fester Bestandteil unseres Deployments und auf allen Systemen vorinstalliert. Die aktuelle Version von Ghostscript 10.01.2 wird unterstützt.
Nähere Infos, siehe:
https://www.pdfprinter.at/
Screenshots können über den PDF24 Creator bzw. über die Screen Capture Funktion erstellt werden.
Nähere Infos, siehe:
https://help.pdf24.org/de/wp-content/uploads/sites/2/2018/09/pdf24-creator-pdf-screen-capture.pdf
https://tools.pdf24.org/de/creator
In der aktuellen Version 11.13.2 ist Ghostscript 10.01.2 enthalten.
Vorhandene (manuelle) Installationen von Ghostscript werden bisher nicht unterstützt bzw. erkannt.
Beide Programme sind aktuell auch für die kommerzielle Nutzung kostenlos und der Installationssatz wird auch als MSI angeboten.