- Une vulnérabilité critique d’exécution de code à distance (RCE) (CVE-2023-36664) a été découverte dans Ghostscript.
- Elle affecte toutes les versions jusqu’à la plus récente, 10.01.2 incluse.
- Les analystes de Kroll, G. Glass et D. Truman, ont mis en œuvre une preuve de concept (PoC) de la vulnérabilité.
- La fonction
gp_file_name_reduce() de Ghostscript est à l’origine de la faille.
- Lors du regroupement et de la simplification des chemins de fichiers, cette fonction peut renvoyer un résultat inattendu lorsqu’elle rencontre un chemin de fichier particulier.
- Avant même que la fonction
gp_validate_path(), chargée de vérifier la validité du chemin avant l’exécution du fichier, ne soit appelée, les informations ont déjà été modifiées, ce qui permet d’exécuter un fichier situé sur un chemin normalement inaccessible.
- Toutes les plateformes sont concernées, notamment Linux et Windows, et il a été confirmé que la faille peut être exploitée via des fichiers EPS (Embedded Postscript) dans tous les logiciels utilisant Ghostscript.
- La vidéo de démonstration montre, sous Windows, un fichier EPS qui ouvre notamment la calculatrice ou des boîtes de dialogue.
- Les systèmes Linux doivent être mis à jour immédiatement vers la dernière version de Ghostscript. Sous Windows, il est recommandé de ne pas utiliser les logiciels concernés tant que la version de Ghostscript dont ils dépendent n’a pas été mise à jour.
1 commentaires
La vulnérabilité a été divulguée le mois dernier, et il semble qu’une version corrigée ait déjà été distribuée dans la plupart des distributions Linux.
En revanche, le problème concerne surtout les programmes Windows difficiles à mettre à jour ou les cas où la bibliothèque est intégrée.
Ghostscript est utilisé dans énormément d’endroits, il semble donc nécessaire d’examiner de près les environnements d’exécution.