2018年8月22日,阿里云云盾应急响应中心监测到Ghostscript多个高危漏洞,可导致远程命令执行,据降维安全实验室(johnwick.io),通用性图像处理软件ImageMagick被爆0day漏洞。可以用于远程命令执行,甚至可以本地提权至root权限,
一:漏洞描述
Ghostscript是Adobe PostScript和PDF的解释语言,被很多图片处理库使用,如ImageMagick、Python PIL等。近期,有国外安全研究人员公布了最新发现的GhostScript远程命令执行漏洞的细节信息,使用到GhostScript的web应用存在潜在被远程命令执行攻击风险。
二:漏洞评级
严重
三:安全建议
升级至最新版本:https://www.ghostscript.com/download.html
1、针对ImageMagick,可在policy.xml策略文件中禁用相关设置(可能造成功能不可用):
1 2 3 4 5 6 |
<policymap> <policy domain="coder" rights="none" pattern="PS" /> <policy domain="coder" rights="none" pattern="EPS" /> <policy domain="coder" rights="none" pattern="PDF" /> <policy domain="coder" rights="none" pattern="XPS" /> </policymap> |
2、卸载 GhostScript,执行命令如下:
Ubuntu:
apt-get remove ghostscript
Centos:
yum remove ghostscript