关于Ghostscript SAFER沙箱绕过漏洞的分析

Ghostscript是一款Adobe PostScript语言的解释器，近日Google安全研究人员披露了其存在的多个漏洞，通过在图片中构造恶意PostScript脚本，可以绕过SAFER安全沙箱，从而造成命令执行、文件读取、文件删除等漏洞。                                                                                                        

一、背景介绍

Ghostscript是一款Adobe PostScript语言的解释器软件。可对PostScript语言进行绘图，支持PS与PDF互相转换。目前大多数Linux发行版中都默认安装，并移植到了Unix、MacOS、Windows等平台，且Ghostscript还被ImagineMagic、Python PIL和各种PDF阅读器等程序所使用。

1.1漏洞描述

8月21日，Google安全研究员Tavis Ormandy披露了多个 GhostScript 的漏洞，通过在图片中构造恶意PostScript脚本，可以绕过SAFER安全沙箱，从而造成命令执行、文件读取、文件删除等漏洞，其根本原因是GhostScript解析restore命令时，会暂时关闭SAFER。

1.2受影响的系统版本

Ghostscript <= 9.23（全版本、全平台），目前官方暂未发布更新。

二、漏洞细节

2.1 Ghostscript安全模式（SAFER mode）

Ghostscript包含一个可选的-dSAFER选项，设置该选项启动安全沙箱模式后，与文件相关的操作符将被禁止，具体作用有如下：

（1）禁用deletefile和renamefile操作符，能够打开管道命令（％pipe％cmd），同时只能打开stdout和stderr进行写入

（2）禁用读取stdin以外的文件

（3）设置设备的LockSafetyParams参数为True，从而防止使用OutputFile参数写入文件

（4）阻止/GenericResourceDir，/FontResourceDir，/SystemParamsPassword或/StartJobPassword被更改

下面是关于该选项的简单演示：

未加上-dSAFER参数时，成功读取了/etc/passwd文件

加上-dSAFER参数后，出现invalidfileaccess错误 

2.2 漏洞验证

多个PostScript操作可以绕过-dSAFER提供的保护，允许攻击者使用任意参数执行shell命令。首先对PoC进行测试，在开启了安全沙箱的情况下（-dSAFER），成功执行任意命令：

使用ImageMagick工具中的convert命令测试PoC，可以看到ImageMagick同样受到影响：

在源码目录下使用命令“grep -r dSAFER”找到和该选项相关的操作，下面这段注释中说明了该选项具体功能——将LockSafetyParams设置为True。

再使用grep查看和LockSafetyParams相关操作，通过注释可知，这个布尔类型变量值为True时，可以防止某些不安全的操作。同时在文件psi/zdevice2.c的第269行，该变量被设置为了False，且仅有此处修改了LockSafetyParams的值为False，因此可以猜测：PoC中某条PostScript语句解析时导致了这个改变。

2.3 调试分析

接下来使用GDB进行验证，首先设置好程序参数：

set args -q -sDEVICE=ppmraw -dSAFER -sOutputFile=/dev/null

根据前面grep的输出，找到“dev_old->LockSafetyParams = false; ”语句在函数restore_page_device()中，并在此处下断，运行程序输入PoC：

设置成像区域——legal（a4、b5、letter等也可以，不是重点）

接着输入{null restore} stopped {pop} if，程序中断在此处： 

再对dev_old->LockSafetyParams变量设置观察点，继续运行程序，和预想的一样，LockSafetyParams的值在这里被改变了。 

查看栈回溯，发现当前函数在一系列带有“interpret”的函数中被调用，从名称推断这些函数用于解释PostScript语句。

这里我们在#2处下断，观察到了解释器处理stopped、null、restore等关键字的过程，至此绕过SAFER沙箱过程就逐渐清晰了。

2.4 漏洞成因    

现在让我们来看看{null restore} stopped {pop} if这条语句是如何绕过SAFER安全沙箱的。

PostScript是一种“逆波兰式”（Reverse Polish Notation，也称为后缀表达式）的语言。简单来说就是操作数在前，操作符在后。PoC中这条语句是一条典型的PostScript异常处理语句，stopped操作符用于PostScript的异常处理，也就是说stopped执行前面{}中给出的过程，如果解释器在执行该过程期间出现错误，它将终止该过程并执行stopped操作符之后{}中的过程。

null restore会引起类型检查错误（/typecheck error），同时restore的执行将LockSafetyParams设置为False，stopped捕获到异常，弹出栈顶元素null，GS继续运行，但此时LockSafetyParams的值还没恢复为True。

值得一提的是，GhostScript的官方文档中也提到了restore操作符存在导致绕过SAFER沙箱的风险。 

三、漏洞利用

OutputFile参数用于设置输出文件名，另外在Linux/Unix上，可以通过设备%pipe%将输出发送到管道（Windows中也可以，需要使用两个%）。例如，要将输出通过管道传输到lpr可以使用：/OutputFile (%pipe%lpr）

查阅官方文档可知，%pipe%功能由popen函数支持，在调试中也能确认这一点： 

popen()函数通过创建管道的方式，调用fork()启动一个子进程，并将传入popen()的命令送到/bin/sh以-c参数执行。因此可以通过在此处注入命令实现漏洞利用，如下图中演示的那样，另外通过将PostScript编码到图像中，也可以在使用ImageMagick的Web服务器上执行任意指令。 

四、修复建议

截至笔者分析该漏洞时，官方还没修复该漏洞。Artifex Software，ImageMagick，Redhat，Ubuntu等厂商已声明受到此漏洞影响，其他平台暂时未对此漏洞进行说明，目前临时解决方案如下：

1.卸载GhostScript；

2.可在/etc/ImageMagick/policy.xml文件中添加如下代码来禁用PostScript、EPS、PDF以及XPS解码器：

<policy domain =“coder”rights =“none”pattern =“PS”/> 
<policy domain =“coder”rights =“none”pattern =“EPS”/> 
<policy domain =“coder”rights =“none”pattern =“PDF”/> 
<policy domain =“coder”rights =“none”pattern =“XPS”/>