【漏洞预警】GhsotScript 命令执行漏洞 ,众多打印驱动和CMS(Wordpress，Drupal)受到影响

概述

2018年8月21日，Tavis Ormandy 通过邮件发布Ghostsc ript漏洞，再次指出 Ghostsc ript 的安全沙箱可以被绕过，攻击者构造包含恶意代码的图片，然后通过Ghostsc ript处理，将可以造成命令执行、文件读取、文件删除等漏洞。

Ghostsc ript 被用于许多图片处理软件，如 ImageMagick、Python PIL 等，这些软件一旦对包含恶意代码的图像进行转换，剪辑等操作，根据内容算法将可能使用Ghostsc ript对图像进行处理，从而导致命令执行。

最新ImageMagic漏洞触发情况

漏洞原理与危害

Ghostsc ript是一款档案与图像的处理和格式转换软件，可用于多种格式的图像转换和档案的信息提取。一方面它是打印工作的重要中间环节，可以将中间文件转化为适应各种打印机的光栅文件，而且现在大部分打印机在Linux都是用Ghostsc ript驱动，Ghostsc ript格式的驱动模也是支持打印机最多的模式。

Ghostsc ript可支持多种打印机驱动

另一方面，众多开源项目以及图像处理软件也将其包含在内，用作处理特定图像。

bitnami开源项目也包含该软件

但其错误处理以及创建文件等机制未对输出参数进行类型以及安全检测，导致用户可以输入恶意参数，从而引发命令执行，创建文件等漏洞。

ImageMagic是一款被用于大量编程语言（Perl, C, C++, Python, PHP, Ruby, Java）以及众多知名CMS（wordpress，drupal等）的图像处理软件，而ImageMagic同时也包含Ghostsc ript。当ImageMagic需要处理图像时，会根据内部算法对图像使用不同的方法处理，一旦分配给Ghostsc ript，如果图像包含恶意代码，就有可能触发漏洞

可能受影响的Drupal和wordpress的全球网站数量

通过ImageMagic的错误处理机制执行命令的情况

漏洞影响

所有包含Ghostsc ript的图像处理软件都有可能引发此问题。

修复建议

目前最新的官方版本仍会受到漏洞影响，建议使用以下解决方法：

1、卸载Ghostsc ript，禁用包含Ghostsc ript的软件。

2、加入禁用策略，禁用PS、EPS、PDF、XPS coders。

policy.xm l配置文档设置（位于/etc/IamgeMagic/）

白帽汇会持续对该“漏洞”进行跟进。后续可持续关注https://nosec.org

参考

[1] [http://seclists.org/oss-sec/2018/q3/142 ]

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。