{"id":283764,"date":"2023-07-13T16:14:29","date_gmt":"2023-07-13T14:14:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283764"},"modified":"2023-07-13T16:16:37","modified_gmt":"2023-07-13T14:16:37","slug":"kritische-rce-schwachstelle-cve-2023-36664-in-ghostscript-bedroht-systeme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/13\/kritische-rce-schwachstelle-cve-2023-36664-in-ghostscript-bedroht-systeme\/","title":{"rendered":"Kritische RCE-Schwachstelle CVE-2023-36664 in GhostScript bedroht Systeme"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" width=\"200\" align=\"left\"\/>[English]Ein Sicherheitsforscher hat ein Proof of Concept erarbeitet, mit dem eine als kritisch (CVSS Score 9.8) eingestufte Remote Code Execution-Schwachstelle <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-36664\" target=\"_blank\" rel=\"noopener\">CVE-2023-36664<\/a> in der breit (f\u00fcr PostScript und PDF-Anzeigen) eingesetzten GhostScript-Software ausgenutzt werden kann. Bedroht sind sowohl Linux als auch Windows-Systeme, wenn GhostScript vor Version 10.01.2 eingesetzt wird. Unter Windows k\u00f6nnte GhostScript z.B. \u00fcber LibreOffice oder Bullzip PDF-Printer auf das System gekommen sein.<\/p>\n<p><!--more--><\/p>\n<h2>Was ist GhostScript?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg08.met.vgwort.de\/na\/991047a9f76d4bbb867f616c74ab6f0c\" width=\"1\" height=\"1\"\/>Der <a href=\"https:\/\/de.wikipedia.org\/wiki\/Ghostscript\" target=\"_blank\" rel=\"noopener\">GhostScript<\/a>-Interpreter wurde urspr\u00fcnglich von Peter Deutsch (kommerzielle Lizenz bei Artifed Software) entwickelt, steht aber frei f\u00fcr Linux, Unix, VMS, Windows, macOS, Mac OS Classic, MSDOS, OS\/2 etc. zur Verf\u00fcgung. Das Produkt erm\u00f6glicht PostScript und PDF-Dateien auf Bildschirmen oder Druckern darzustellen. Daher ist es in vielen PDF-Produkten (faktisch in allen PDF-Druckern und Editoren, aber auch in Gimp &amp; Co.) integriert. Kritisch wird es, wenn Sicherheitsl\u00fccken auftreten, die durch fremde Dokumente ausgenutzt werden k\u00f6nnen. GhostScript steckt in vielen Softwarepaketen, die PDF-Ausgaben erzeugen, drin.  <\/p>\n<h2>RCE-Schwachstelle CVE-2023-36664 in GhostScript <\/h2>\n<\/p>\n<p>Bereits zum 11. Juni 2023 hat Dave Truman von Kroll den Artikel <a href=\"https:\/\/www.kroll.com\/en\/insights\/publications\/cyber\/ghostscript-cve-2023-36664-remote-code-execution-vulnerability\" target=\"_blank\" rel=\"noopener\">Proof of Concept Developed for Ghostscript CVE-2023-36664 Code Execution Vulnerability<\/a> zu einer Schwachstelle in GhostScript ver\u00f6ffentlicht. Die Kernpunkte seines Artikels, soweit sie f\u00fcr Nutzer von Interesse sind:<\/p>\n<ul>\n<li>In Ghostscript vor Version 10.01.2 gibt es eine RCE-Schwachstelle <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-36664\" target=\"_blank\" rel=\"noopener\">CVE-2023-36664<\/a>.&nbsp; f\u00fchrt zur Codeausf\u00fchrung. Die kritische Schwachstelle (CVSS Score 9.8) kann beim \u00d6ffnen einer Datei f\u00fcr eine Codeausf\u00fchrung ausgenutzt werden.  <\/li>\n<li>In Linux ist GhostScript meist in der Distribution dabei, um die PDF-Anzeige und PostScript-Drucken (CUPS-Drucksystem) zu erm\u00f6glichen.  <\/li>\n<li>Windows-Open-Source-Produktivit\u00e4ts- und Kreativit\u00e4tswerkzeuge wie Inkscape, ImageMagick, Scribus, LibreOffice, Gimp etc. verwenden den Ghostscript-Windows-Port.<\/li>\n<\/ul>\n<p>Artifex Ghostscript behandelt in betroffenen Versionen die Berechtigungs\u00fcberpr\u00fcfung f\u00fcr Pipe-Ger\u00e4te (mit dem Pr\u00e4fix %pipe% oder dem Pr\u00e4fix | Pipe-Zeichen) falsch. Das Kroll Cyber Threat Intelligence (CTI)-Team hat einen brauchbaren Exploit f\u00fcr diese Schwachstelle entwickelt und nutzt ihn, um die Erkennung zu verbessern.<\/p>\n<p>Nutzer und Administratoren m\u00fcssen die Version von Ghostscript aktualisieren, so dass die Schwachstelle beseitigt wird. Die Maintainer von Debian haben zum 3. Juli 2023 bereits aktualisierte Versionen der GhostScript-Library ver\u00f6ffentlicht (<a href=\"https:\/\/www.debian.org\/security\/2023\/dsa-5446\" target=\"_blank\" rel=\"noopener\">siehe<\/a>). Bei anderen Linux-Distributionen d\u00fcrfte GhostScript ebenfalls in aktualisierter Form bereitstehen.<\/p>\n<p>Als Nutzer oder Administrator sollte man alle Anwendungen (speziell unter Windows), die irgendwie PDF-Dokumente bearbeiten k\u00f6nnen, darauf hin \u00fcberpr\u00fcfen, ob diese GhostScript verwenden. Dann bleibt nur die Suche, ob f\u00fcr das Paket ein Update verf\u00fcgbar ist. Kroll hat auf <a href=\"https:\/\/github.com\/KrollCYB\/Kroll-CYB\/tree\/main\/CVE-2023-36664\" target=\"_blank\" rel=\"noopener\">Github Sigma-Regeln<\/a> ver\u00f6ffentlicht, mit denen sich Angriffe \u00fcber pr\u00e4parierte Daten erkennen lassen. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ein Sicherheitsforscher hat ein Proof of Concept erarbeitet, mit dem eine als kritisch (CVSS Score 9.8) eingestufte Remote Code Execution-Schwachstelle CVE-2023-36664 in der breit (f\u00fcr PostScript und PDF-Anzeigen) eingesetzten GhostScript-Software ausgenutzt werden kann. Bedroht sind sowohl Linux als auch Windows-Systeme, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/13\/kritische-rce-schwachstelle-cve-2023-36664-in-ghostscript-bedroht-systeme\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-283764","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283764","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283764"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283764\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283764"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283764"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283764"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}