Vor einigen Tagen hatte ich ja was zum Kernel Bug geschrieben, nÀmlich, daà ich mir mehr Sorgen mache, daà eins der Desktopprogramme geknackt wird. Jetzt ist es bei Ghostscript soweit.
Der Ghostscript Exploit, der in andere Anwendungen eskaliert
Ghostscript < 10.1.02 hat eine Schwachstelle, die das AusfĂŒhren von Code erlaubt. Das an sich ist schon schlimm, wenn man dann erfĂ€hrt, daĂ das bei den Maintainer untergegangen ist đ
Schlimmer ist aber, daĂ die LĂŒcke in andere Anwendungen wie InkScape, LibreOffice und Gimp eskaliert, dort also auch funktioniert. Möglich macht dies das Ăquivalent der gröĂten Container-Sorge ĂŒberhaupt: Diese Anwendungen halten sich eine selbst gepatchte Version von Ghostscript in der Codebasis und naja, in der ist der Bug auch drin.
Das ist vergleichbar mit einer Sammlung von Docker Containern,Snaps & Flatpaks, welche alle die gleiche ausnutzbare libPNG drin haben und jetzt alle geupdated werden mĂŒssen, wo ja eigentlich nur eine Komponente das Update wirklich brĂ€uchte: Ghostscript. Was zeigt das: Dumme Entscheidungen brauchen kein Containermodell đ
Anstatt einer Komponente, mĂŒssen jetzt ein Haufen unĂŒbersehbarer Anwendungen aktualisiert werden, wozu man erstmal rausfinden muĂ, wo das ĂŒberall drin ist. Das muĂ man erst mal schaffen. Log4J lĂ€sst so derbe grĂŒĂen, daĂ heute wohl Murmeltiertag ist.
Da zu allem Ăberfluss ein POC-Exploit bekannt ist, werden echte Exploits nicht lange auf sich warten lassen.
Die Situation auf Debian ist besser als die von Fedora, weil Debian immerhin das erste GS Update ausgeschickt hat, bei Fedora aber nichts am Horizont ist. Dagegen habe ich mal was gemailt…
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36664
https://www.kroll.com/en/insights/publications/cyber/ghostscript-cve-2023-36664-remote-code-execution-vulnerability
und wenn man da ein Ortsdetail anklickt:
So macht eine WetterApp richtig SpaĂ.. Wer war gnome-weather gleich nochmal? đ