服务公告
Ghostscript远程命令执行漏洞预警
2018-08-22
一、概要
近期,某安全研究人员公布了最新发现的GhostScript远程命令执行漏洞的细节信息,漏洞影响使用了GhostScript的通用图片处理库,如 ImageMagick等。攻击者可利用该漏洞进行远程命令执行攻击,入侵服务器。
参考链接:
http://openwall.com/lists/oss-security/2018/08/21/2
二、漏洞级别
漏洞级别:【严重】
(说明:漏洞级别共四级:一般、重要、严重、紧急。)
三、影响范围
Ghostscript是Adobe PostScript和PDF的解释语言,目前广泛应用在各类应用程序中(例如ImageMagick、Evince、GIMP、PDF阅读器等)。该漏洞影响使用了GhostScript的通用图片处理库,如 ImageMagick等。经确认该漏洞暂不影响华为云平台侧相关版本。
四、安全建议
目前官方并未发布最新更新补丁,漏洞研究人员发布了临时加固措施,请用户根据自身业务情况评估后决定是否采用临时加固措施。华为云将持续关注并刷新补丁信息。
临时解决方案如下:
在ImageMagick policy.xml中禁用PostScript、EPS、PDF以及XPS解码器。
<policy domain =“coder”rights =“none”pattern =“PS”/>
<policy domain =“coder”rights =“none”pattern =“EPS”/>
<policy domain =“coder”rights =“none” pattern =“PDF”/>
<policy domain =“coder”rights =“none”pattern =“XPS”/>
注意:修复漏洞前请将资料备份,并进行充分测试。