Sicherheitsproblem: Verwundbarkeit in der ghostscript-Library bis Version 9.27
Problemkennung: CVE-2019-3835, CVE-2019-3838
Angriffszenario: Es besteht die Möglichkeit, durch eine speziell angepasste Datei unautorisierte Shell-Befehle auszuführen.
Betrifft: DRACOON-SaaS-Umgebung
Beschreibung: Auf der DRACOON-SaaS-Umgebung kommt auf den Servern, welche Miniaturansichten (Thumbnails) konvertieren, die ghostscript-Library zum Einsatz. Durch das Hochladen einer speziell angepassten PDF-Datei wäre in der Folge dem Angreifer das unautorisierte Ausführen von Shell-Befehlen ohne administrative Rechte möglich gewesen.
Abschwächende Faktoren: Die strikte Trennung aller Systeme gewährleistet zuverlässig, dass ein Zugriff auf andere Systeme und insbesondere auf die im DRACOON gespeicherten Dokumente nicht möglich ist. In clientseitig verschlüsselten Datenräumen kann die Lücke nicht ausgenutzt werden, da dort keine Miniaturansichten erzeugt werden.
Auswirkung auf On-Premises-Installationen: Kunden, die DRACOON bei sich betreiben (auf eigenen Servern), sind nicht betroffen, da der DRACOON Media Server zur Erzeugung von Miniaturansichten dort nicht zum Einsatz kommt.
Problembehebung am 29.03.2019
Die Analyse der Systeme hat keine Auffälligkeiten ergeben. Es ist also anzunehmen, dass die Lücke nicht aktiv ausgenutzt wurde. Dennoch wurden die Systeme vorsorglich ausgetauscht, um eine möglicherweise nicht entdeckte Kompromittierung auszuschließen. Auf den neuen System wurde die Lücke durch die Installation des von RedHat gelieferten Sicherheitspatches geschlossen.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.