区委  | 区人大  | 区政府  | 区政协

关于进一步加强Ghostscript命令实行漏洞安全防范工作的预警通报

来源:区信息中心 发布日期:2018-10-23
  网络与信息安全情况通报第106期——北京网络与信息安全信息通报中心 
  近日,GhostscriptApp再次被爆出存在任意命令实行的高危漏洞,距上次漏洞披露不足两月,此前漏洞均已造成国内外诸多厂商及开源程序遭受严重损失。为进一步加强安全防范工作,我中心就此次漏洞进行了技术分析,现将具体情况通报如下:
  一、漏洞基本情况: Ghostscript是一款建基于Adobe、PostScript及移植文档格式(PDF)的页面描述语言等而编译成的免费App。该App被许多图片处理库所使用,如ImageMagick、Python PIL等,默认情况下这些库会根据图片的内容将其分发给不同的处理方法,其中就包括Ghostscript。此次的漏洞导致攻击者可以通过上传恶意构造的图像文件,当目标服务器在对图像进行图像裁剪、转换等处理时即会实行攻击者指定的恶意文件读写操作。攻击者可通过利用此漏洞对特定文件的内容进行篡改,从而进一步达到任意命令实行的目的。
  二、影响范围: 所有使用Ghostscript、ImageMagick等对来源由用户可控的图像数据进行图像处理的网站和程序。
  三、网络安全工作提示: 尽管目前git官方网站已经提交相关修复的commit方式,但现在GhostScript官网可下载的最新9.25版本依然可以利用此漏洞。因此作为临时缓解方案,可以考虑将GhostScript临时卸载或者在ImageMagi等图片库中临时禁用GhostScrip。
  1.临时卸载: 以Ubuntu系统为例,可以实行以下命令以暂时卸载 GhostScript:sudo apt-get remove ghostscript。
  2.临时禁用: 修改ImageMagic的policy文件,默认位置为 /etc/ImageMagick/policy.xml,在 <policymap> 中加入以下 <policy>(即禁用 PS、EPS、PDF、XPS coders)。tp:// www.oracle.com/technetwork/security-advisory/ 请各单位相关部门接通报后马上开展工作。
  区信息中心
  2018年10月23日

相关文章

XML 地图 | Sitemap 地图
Baidu
sogou