Ghostscript, un interpréteur open source pour le langage PostScript et les fichiers PDF largement utilisés sous Linux, s’est révélé vulnérable à une faille d’exécution de code à distance de gravité critique.
La faille est identifiée comme CVE-2023-3664, avec une note CVSS v3 de 9,8, et affecte toutes les versions de Ghostscript avant 10.01.2, qui est la dernière version disponible publiée il y a trois semaines.
Selon les analystes de Kroll, G. Glass et D. Truman, qui ont développé un exploit de preuve de concept (PoC) pour la vulnérabilité, l’exécution de code peut être déclenchée lors de l’ouverture d’un fichier malveillant spécialement conçu.
Considérant que Ghostscript est installé par défaut dans de nombreuses distributions Linux et utilisé par des logiciels tels que LibreOffice, GIMP, Inkscape, Scribus, ImageMagick et le système d’impression CUPS, les opportunités de déclencher CVE-2023-3664 sont abondantes dans la plupart des cas.
Kroll commente également que le problème affecte également les applications open source sur Windows, si celles-ci utilisent un portage de Ghostscript.
La faille Ghostscript
La faille CVE-2023-3664 est liée aux tubes du système d’exploitation, qui permettent à différentes applications d’échanger des données en transmettant les sorties de l’une comme entrées à l’autre.
Le problème provient de la fonction « gp_file_name_reduce() » dans Ghostscript, qui semble prendre plusieurs chemins et les combine et les simplifie en supprimant les références de chemin relatif pour plus d’efficacité.
Cependant, si un chemin spécialement conçu est donné à la fonction vulnérable, il pourrait renvoyer des résultats inattendus, entraînant le remplacement des mécanismes de validation et une exploitation potentielle.
De plus, lorsque Ghostscript tente d’ouvrir un fichier, il utilise une autre fonction appelée « gp_validate_path » pour vérifier si son emplacement est sûr.
Cependant, étant donné que la fonction vulnérable modifie les détails de l’emplacement avant la vérification de cette deuxième fonction, il est trivial pour un attaquant d’exploiter la faille et de forcer Ghostscript à traiter des fichiers dans des emplacements qui devraient être interdits.
Les analystes de Kroll ont créé un PoC qui est déclenché en ouvrant un fichier EPS (Embedded Postscript) sur n’importe quelle application utilisant Ghostscript.
Dans la vidéo de démonstration suivante, les chercheurs présentent l’exploit dans Inkscape sous Windows, en effectuant des actions telles que l’ouverture de la calculatrice ou l’affichage de boîtes de dialogue à l’utilisateur.
Il est recommandé aux utilisateurs de Linux de mettre à niveau vers la dernière version de Ghostscript, 10.01.2, en utilisant le gestionnaire de packages de leur distribution.
Si le dernier Ghostscript n’est pas encore disponible sur les chaînes logicielles de votre distribution, il est recommandé de le compiler à partir du code source.
Malheureusement, les logiciels open source sous Windows qui utilisent des ports de Ghostscript nécessiteront naturellement plus de temps pour passer à la dernière version de l’outil. Par conséquent, une prudence supplémentaire est recommandée avec les installations sous Windows.