PDF a rischio su Unix e Linux

Una vulnerabilità contenuta nel codice di alcuni fra i più diffusi viewer open source di file PDF e PostScript potrebbe mettere a rischio la sicurezza degli utenti di Unix e Linux. Patch in arrivo

Roma - I file di tipo PDF e PostScript (PS) potrebbero costituire un pericolo per gli utenti di sistemi operativi Unix e Linux. In un avviso pubblicato dalla società di sicurezza iDefense, si spiega infatti che alcuni fra i più noti visualizzatori di file PDF e PS, come gv, kghostview e ggv, contengono una vulnerabilità (un buffer overflow) che potrebbe consentire ad un aggressore di eseguire codice a sua scelta sul sistema della vittima.

Sebbene il codice malizioso eventualmente nascosto all'interno di un documento PDF o PS possa girare con i soli privilegi dell'utente che ha lanciato il visualizzatore, iDefense sostiene che non è affatto raro che gli amministratori di sistema leggano le proprie e-mail mentre sono loggati con l'account root: una condizione, questa, che potrebbe dare al codice malizioso la possibilità di compiere qualsiasi azione, inclusa la cancellazione di tutti i dati sul disco.

Fra i fattori mitiganti di questa vulnerabilità vi è il fatto che, secondo iDefense, la falla può essere sfruttata solo se l'utente utilizza i viewer nella modalità a riga di comando: un'eventualità sempre più rara oggi che le interfacce grafiche la fanno da padrone anche nei sistemi server.
Fra gli altri visualizzatori di file PDF/PS potenzialmente a rischio, ma di cui non è ancora stata accertata la vulnerabilità, vi sono anche ghostview, mgv e gsview.

Alcuni fra i principali distributori di Linux, fra cui Red Hat, rilasceranno a breve delle patch per i viewer affetti dal problema.
49 Commenti alla Notizia PDF a rischio su Unix e Linux
Ordina
  • ...utilizzando il file pdf malformato.

    gv : Segmentation fault.
    ggv : Si apre e visualizza una pagina vuota.
    kghostview : Si apre e ritorna un errore non fatale.
    xpdf : Non si apre. Ritorna un errore ma non fatale.

    In definitiva gv è l'unico che sembra avere problemi, confermando il Security Advisory.


    non+autenticato
  • ... quanto tempo ci metteranno a rilasciare una patch?

    [troll mode on]
    sicuramente meno di quanto impiegherà la premiata ditta ms a patchare la vulnerabilità che uscira domani (vado a caso ma ho il 30% di probabilità di azzeccarla)!!!
    [troll mode off]

    intanto, il workaround è semplicissimo: basta non usare gv da riga di comando.
    sinceramente, non sono ancora convinto che la vulnerabilità sussita anche negli altri programmi di visualizzazione di pdf.
    ciao.
    non+autenticato
  • Spero che PI non abbia postato il link per questioni di "permessi/diritti", cmq il testo originale è questo (bugtraq, che è una fonte liberamente accessibile):

    AnteScriptum: "The CVE for this issue in gv should have been CAN-2002-0838 instead
    of CAN-2001-0832"

    --

    iDEFENSE Security Advisory 09.26.2002
    Exploitable Buffer Overflow in gv

    DESCRIPTION

    The gv program that is shipped on many Unix systems contains a buffer
    overflow which can be exploited by an attacker sending a malformed
    postscript or Adobe pdf file. The attacker would be able to cause
    arbitrary code to run with the privileges of the victim on his Linux
    computer. The gv program is a PDF and postscript viewing program for
    Unix which interfaces with the ghostscript interpreter. It is
    maintained at http://wwwthep.physik.uni-mainz.de/~plass/gv/ by
    Johannes Plass. This particular security vulnerability occurs in the
    source code where an unsafe sscanf() call is used to interpret
    PostScript and PDF files.

    The Common Vulnerabilities and Exposures project (cve.mitre.org) has
    assigned the name CAN-2001-0832 to this issue.


    ANALYSIS

    In order to perform exploitation, an attacker would have to trick a
    user into viewing a malformed PDF or PostScript file from the command
    line. This may be somewhat easier for Unix based email programs that
    associate gv with email attachments. Since gv is not normally
    installed setuid root, an attacker would only be able to cause
    arbitrary code to run with the privileges of that user. Other
    programs that utilize derivatives of gv, such as ggv or kghostview,
    may also be vulnerable in similiar ways.

    A proof of concept exploit for Red Hat Linux designed by zen-parse is
    attached to this message. It packages the overflow and shellcode in
    the "%%PageOrder:" section of the PDF.

    [root@victim]# ls -al /tmp/itworked
    /bin/ls: /tmp/itworked: No such file or directory
    [root@victim]# gv gv-exploit.pdf
    [root@victim]# ls -al /tmp/itworked
    - -rw-r--r-- 1 root root 0 Aug 22 16:50 /tmp/itworked
    [root@victim]#


    DETECTION

    This vulnerability affects the latest version of gv, 3.5.8. An
    exploit has been tested on Red Hat Linux 7.3.


    WORKAROUND

    To avoid potential exploitation, users can select alternatives to gv
    such as Kghostview (included with the KDE desktop environment) for
    instance. Additionally, the vulnerability does not seem to be
    exploitable when a file is opened from the gv interface instead of
    the command line.


    VENDOR RESPONSE

    The author could not be contacted, and the main home page has not
    been updated since 1997. Coordinated public disclosure was scheduled
    for September 26, 2002 with Unix vendors.


    DISCLOSURE TIMELINE

    8/23/2002 Disclosed to iDEFENSE
    9/6/2002 Disclosed to vendor (plass@thep.physik.uni-mainz.de) by
    iDEFENSE
    9/6/2002 Disclosed to iDEFENSE clients
    9/12/2002 Disclosed to Unix vendors
    9/13/2002 Second vendor disclosure attempt
    9/26/2002 Public Disclosure


    CREDIT

    This issue was exclusively disclosed to iDEFENSE by zen-parse
    (zen-parse@gmx.net).

    Get paid for vulnerability research
    http://www.idefense.com/contributor.html


    David Endler, CISSP
    Director, Technical Intelligence
    iDEFENSE, Inc.
    14151 Newbrook Drive
    Suite 100
    Chantilly, VA 20151
    voice: 703-344-2632
    fax: 703-961-1071

    dendler@idefense.com
    www.idefense.com
    non+autenticato
  • hai proprio ragione.
    qua si parla solo di gv, non della sfilza di viewer pdf citati nell'articolo.
    ahi ahi...

    - Scritto da: pupazzo di windows
    > Spero che PI non abbia postato il link per
    > questioni di "permessi/diritti", cmq il
    > testo originale è questo (bugtraq, che è una
    > fonte liberamente accessibile):
    >
    > AnteScriptum: "The CVE for this issue in gv
    > should have been CAN-2002-0838 instead
    > of CAN-2001-0832"
    >
    > --
    >
    > iDEFENSE Security Advisory 09.26.2002
    > Exploitable Buffer Overflow in gv
    >
    > DESCRIPTION
    >
    > The gv program that is shipped on many Unix
    > systems contains a buffer
    > overflow which can be exploited by an
    > attacker sending a malformed
    > postscript or Adobe pdf file. The attacker
    > would be able to cause
    > arbitrary code to run with the privileges of
    > the victim on his Linux
    > computer. The gv program is a PDF and
    > postscript viewing program for
    > Unix which interfaces with the ghostscript
    > interpreter. It is
    > maintained at
    > http://wwwthep.physik.uni-mainz.de/~plass/gv/
    > Johannes Plass. This particular security
    > vulnerability occurs in the
    > source code where an unsafe sscanf() call is
    > used to interpret
    > PostScript and PDF files.
    >
    > The Common Vulnerabilities and Exposures
    > project (cve.mitre.org) has
    > assigned the name CAN-2001-0832 to this
    > issue.
    >
    >   
    > ANALYSIS
    >
    > In order to perform exploitation, an
    > attacker would have to trick a
    > user into viewing a malformed PDF or
    > PostScript file from the command
    > line. This may be somewhat easier for Unix
    > based email programs that
    > associate gv with email attachments. Since
    > gv is not normally
    > installed setuid root, an attacker would
    > only be able to cause
    > arbitrary code to run with the privileges of
    > that user. Other
    > programs that utilize derivatives of gv,
    > such as ggv or kghostview,
    > may also be vulnerable in similiar ways.
    >
    > A proof of concept exploit for Red Hat Linux
    > designed by zen-parse is
    > attached to this message. It packages the
    > overflow and shellcode in
    > the "%%PageOrder:" section of the PDF.
    >
    > [root@victim]# ls -al /tmp/itworked
    > /bin/ls: /tmp/itworked: No such file or
    > directory
    > [root@victim]# gv gv-exploit.pdf
    > [root@victim]# ls -al /tmp/itworked
    > - -rw-r--r-- 1 root root 0 Aug 22 16:50
    > /tmp/itworked
    > [root@victim]#
    >
    >
    > DETECTION
    >
    > This vulnerability affects the latest
    > version of gv, 3.5.8. An
    > exploit has been tested on Red Hat Linux
    > 7.3.
    >
    >
    > WORKAROUND
    >
    > To avoid potential exploitation, users can
    > select alternatives to gv
    > such as Kghostview (included with the KDE
    > desktop environment) for
    > instance. Additionally, the vulnerability
    > does not seem to be
    > exploitable when a file is opened from the
    > gv interface instead of
    > the command line.
    >
    >
    > VENDOR RESPONSE
    >
    > The author could not be contacted, and the
    > main home page has not
    > been updated since 1997. Coordinated public
    > disclosure was scheduled
    > for September 26, 2002 with Unix vendors.
    >
    >
    > DISCLOSURE TIMELINE
    >
    > 8/23/2002 Disclosed to iDEFENSE
    > 9/6/2002 Disclosed to vendor
    > (plass@thep.physik.uni-mainz.de) by
    > iDEFENSE
    > 9/6/2002 Disclosed to iDEFENSE clients
    > 9/12/2002 Disclosed to Unix vendors
    > 9/13/2002 Second vendor disclosure attempt
    > 9/26/2002 Public Disclosure
    >
    >
    > CREDIT
    >
    > This issue was exclusively disclosed to
    > iDEFENSE by zen-parse
    > (zen-parse@gmx.net).
    >
    > Get paid for vulnerability research
    > http://www.idefense.com/contributor.html
    >
    >
    > David Endler, CISSP
    > Director, Technical Intelligence
    > iDEFENSE, Inc.
    > 14151 Newbrook Drive
    > Suite 100
    > Chantilly, VA 20151
    > voice: 703-344-2632
    > fax: 703-961-1071
    >
    > dendler@idefense.com
    > www.idefense.com
    non+autenticato
  • ....ci penso io:

    http://www.securitytracker.com/alerts/2002/Sep/100...


    P.S. e per questa volta spero di non finire in "Forum PI: Pro-contro"..
    non+autenticato
  • L'exploit che propongono sulla mia woody non funzionaSorride Spero che qualche winaro non mi venga a dire che su debian non funzionano neanche gli exploit !!!Sorride))

    non+autenticato


  • - Scritto da: Piratone
    > L'exploit che propongono sulla mia woody non
    > funzionaSorride Spero che qualche winaro non mi
    > venga a dire che su debian non funzionano
    > neanche gli exploit !!!Sorride))
    >

    scusami, ma da dove l'hai preso il pdf malformato ?
    non+autenticato
  • invece che scaldarvi tanto per i bug nel SW OpenSource che PI ogni tanto riporta per generare le discussioni qua sotto (che non ho intenzione di leggere), perché non vi informate?
    scoprireste che Linux ha molti più bug di quanti pensate (e anche più seri di questo) e magari riuscireste a sparare str***ate più grosse...
    http://www.lwn.net/security
    non+autenticato
  • Casomai e' il contrario:
    Tu confondi i BUGs delle applicazioni e dei programmi con quelli del S.O.
    Nel sito vi sono elencati tutti e due i tipi perche' ovviamente sono tutti pericolosi allo stesso modo ma e' cme dire: Photoshiop ha un baco allora Windows e' bacato... Che senso ha scusa? Rivediti un po' il concetto di BUG, di vulnerabilita' e la distinzione tra processi, programmi e S.O.
    Infine: nessuno ha mai detto che Linux non abbia bachi, del resto ne ha anche Windows e di parecchio seri. Vedi approposito quello gravissimo sulle VPN...

    - Scritto da: A.C.
    > invece che scaldarvi tanto per i bug nel SW
    > OpenSource che PI ogni tanto riporta per
    > generare le discussioni qua sotto (che non
    > ho intenzione di leggere), perché non vi
    > informate?
    > scoprireste che Linux ha molti più bug di
    > quanti pensate (e anche più seri di questo)
    > e magari riuscireste a sparare str***ate più
    > grosse...
    > http://www.lwn.net/security
    non+autenticato
  • Eh no. troppo facile. Allora non prendiamocela con IE. Anche quello è un programma. E neanche con le VPN. Windows vive anche senza.

    - Scritto da: Volta&Gabbana
    > Casomai e' il contrario:
    > Tu confondi i BUGs delle applicazioni e dei
    > programmi con quelli del S.O.
    > Nel sito vi sono elencati tutti e due i tipi
    > perche' ovviamente sono tutti pericolosi
    > allo stesso modo ma e' cme dire: Photoshiop
    > ha un baco allora Windows e' bacato... Che
    > senso ha scusa? Rivediti un po' il concetto
    > di BUG, di vulnerabilita' e la distinzione
    > tra processi, programmi e S.O.
    > Infine: nessuno ha mai detto che Linux non
    > abbia bachi, del resto ne ha anche Windows e
    > di parecchio seri. Vedi approposito quello
    > gravissimo sulle VPN...
    >
    > - Scritto da: A.C.
    > > invece che scaldarvi tanto per i bug nel
    > SW
    > > OpenSource che PI ogni tanto riporta per
    > > generare le discussioni qua sotto (che non
    > > ho intenzione di leggere), perché non vi
    > > informate?
    > > scoprireste che Linux ha molti più bug di
    > > quanti pensate (e anche più seri di
    > questo)
    > > e magari riuscireste a sparare str***ate
    > più
    > > grosse...
    > > http://www.lwn.net/security
    non+autenticato


  • - Scritto da: uno
    > Eh no. troppo facile. Allora non
    > prendiamocela con IE. Anche quello è un
    > programma. E neanche con le VPN. Windows
    > vive anche senza.


    Dillo a Bill Gates, che ha basato gran parte della sua difesa al processo sulla inscindibilità di IE con Windows. A quanto dice lui, IE è un componente del SO, non un addon. Decidetevi.
    non+autenticato
  • Sei tu che hai fatto la distinzione, non io

    - Scritto da: Maik
    >
    >
    > - Scritto da: uno
    > > Eh no. troppo facile. Allora non
    > > prendiamocela con IE. Anche quello è un
    > > programma. E neanche con le VPN. Windows
    > > vive anche senza.
    >
    >
    > Dillo a Bill Gates, che ha basato gran parte
    > della sua difesa al processo sulla
    > inscindibilità di IE con Windows. A quanto
    > dice lui, IE è un componente del SO, non un
    > addon. Decidetevi.
    non+autenticato


  • - Scritto da: uno
    > Eh no. troppo facile. Allora non
    > prendiamocela con IE. Anche quello è un
    > programma. E neanche con le VPN. Windows
    > vive anche senza.

    Giusto...
    Non prendiamocela con Windows perchè IE e VPN sono bacati. Prendiamocela con chi produce IE e VPN....
    non+autenticato


  • - Scritto da: uno
    > Eh no. troppo facile. Allora non
    > prendiamocela con IE. Anche quello è un
    > programma. E neanche con le VPN. Windows
    > vive anche senza.

    Eh no. troppo facile. IE è parte integrante di Windows fino a prova contraria quindi i bug di IE si ripercuotono indiscutibilmente su win...

    PS.: E non mi venite a dire che IE si può togliere...
    non+autenticato
  • OK, escludiamo IE (anche se non e' del tutto stand alone, come si sa). Ma la parte relativa alla VPN, e' interna al codice di Windows, per quanto escludibile, o e' implementata esternamente? nel primo caso non conta, nel secondo sarebbe come dire "un bug nella FAT? beh, tanto XP gira anche su NTFS".
    E' una domanda seria, non un tentativo di scatenare un flame: mi interessa davvero sapere a che livello e' implementata la VPN

    - Scritto da: uno
    > Eh no. troppo facile. Allora non
    > prendiamocela con IE. Anche quello è un
    > programma. E neanche con le VPN. Windows
    > vive anche senza.
    >
    non+autenticato
  • E' pur sempre una cosa che Linux implementa in esterno... allora vogliamo dire che Linux non ha bachi perchè è un semplice Kernel che non fa niente, mentre Windows siccome è tutto integrato allora ha tutti i bachi di tutte le funzionalità che incorpora?
    Ma scusa tu Linux lo usi nudo e crudo? Che ci fai il caffè? Perchè giusto quello ci puoi fare.... forse

    - Scritto da: Co.Bra.
    > OK, escludiamo IE (anche se non e' del tutto
    > stand alone, come si sa). Ma la parte
    > relativa alla VPN, e' interna al codice di
    > Windows, per quanto escludibile, o e'
    > implementata esternamente? nel primo caso
    > non conta, nel secondo sarebbe come dire "un
    > bug nella FAT? beh, tanto XP gira anche su
    > NTFS".
    > E' una domanda seria, non un tentativo di
    > scatenare un flame: mi interessa davvero
    > sapere a che livello e' implementata la VPN
    >
    > - Scritto da: uno
    > > Eh no. troppo facile. Allora non
    > > prendiamocela con IE. Anche quello è un
    > > programma. E neanche con le VPN. Windows
    > > vive anche senza.
    > >
    non+autenticato
  • - Scritto da: uno
    > E' pur sempre una cosa che Linux implementa
    Oh ma raffreddiamo gli animi oppure no, CoBra ha posto una domanda ed invece di rispondere, essendo forse la domanda troppo tecnica, si critica il pinguino. Eh sì... siamo noi i talebani

    > in esterno... allora vogliamo dire che Linux
    > non ha bachi perchè è un semplice Kernel che
    Lo stai dicendo tu perché in nessun post credibile un fan di linux ha affermato che sia esente da magagne. L'unica cosa su cui nn ci sono dubbi è che il codice aperto consente una correzione in tempi irrisori del problema. Se poi Voi leggete "Linux è perfetto" il problema è vostro nn delle macchine che amministro.

    > Ma scusa tu Linux lo usi nudo e crudo? Che
    No lo vesto col maglione di lana.

    > ci fai il caffè? Perchè giusto quello ci
    > puoi fare.... forse
    Solo col kernel di qualunque so nn ci fai una sega...

    > > E' una domanda seria, non un tentativo di
    > > scatenare un flame: mi interessa davvero
    > > sapere a che livello e' implementata la
    > VPN
    Io nn so rispondere cobra.

    non+autenticato
  • Allora: o escludi tutto dal SO, sia esso IE sotto Win o GS sotto Linux, o includi tutto.
    Se c'è un errore nel modulo del Kernel, lo considero un errore del Kernel, che sia usato o no. Se la VPN di Linux si trova nell'equivalente dei moduli del kernel, allora è un errore di Windows, non di un'applicazione di windows. E comunque, parafrasandoti, "Linux vive anche senza (quei) viewer PDF".
    Scusa lo sfogo ma odio le risposte a pene di segugio a un post serio. Potevi evitare di rispondere. Grazie

    - Scritto da: uno
    > E' pur sempre una cosa che Linux implementa
    > in esterno... allora vogliamo dire che Linux
    > non ha bachi perchè è un semplice Kernel che
    > non fa niente, mentre Windows siccome è
    > tutto integrato allora ha tutti i bachi di
    > tutte le funzionalità che incorpora?
    > Ma scusa tu Linux lo usi nudo e crudo? Che
    > ci fai il caffè? Perchè giusto quello ci
    > puoi fare.... forse
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)