GhostScript 沙箱繞過（命令執行）漏洞（CVE-2019-6116）

Path ghostscript/CVE-2019-6116

2019年1月23日晚，Artifex官方在ghostscriptf的master分支上提交合并了多達6處的修復。旨在修復 CVE-2019-6116 漏洞，該漏洞由 Google 安全研究員 Tavis 于2018年12月3日提交。該漏洞可以直接繞過 ghostscript 的安全沙箱，導致攻擊者可以執行任意命令/讀取任意文件。

GhostScript 被許多圖片處理庫所使用，如 ImageMagick、Python PIL 等，默認情況下這些庫會根據圖片的內容將其分發給不同的處理方法，其中就包括 GhostScript。

參考鏈接：

• https://bugs.chromium.org/p/project-zero/issues/detail?id=1729&desc=2
• https://www.anquanke.com/post/id/170255

漏洞環境

執行如下命令啟動漏洞環境（其中包括最新版 GhostScript 9.26、ImageMagick 7.0.8-27）：

docker-compose up -d

環境啟動后，訪問http://your-ip:8080將可以看到一個上傳組件。

漏洞復現

作者給出了POC，上傳這個文件，即可執行id > /tmp/success：

我們也可以用docker run -it --rm --name uu -vpwd/poc.png:/tmp/poc.png vulhub/imagemagick:7.0.8-27-php identify /tmp/poc.png來直接測試poc：