DjVuLibre-lek laat aanvaller code op Linux-desktops uitvoeren
Een kwetsbaarheid in DjVuLibre maakt het mogelijk om code op Linux-desktops uit te voeren als gebruikers een geprepareerd document openen. Dat laat het GitHub Security Lab team weten dat het probleem ontdekte en rapporteerde. Er is gisteren een update uitgebracht waarin het lek is verholpen.
DjVu is een bestandsformaat dat voornamelijk wordt gebruikt voor ingescande documenten. Het is enigszins vergelijkbaar met pdf. DjVuLibre is een GPL-implementatie van DjVu. Evince en Papers, de standaard document viewers op veel Linux-distributies, ondersteunen DjVu. Wanneer een DjVu-bestand een .pdf-extensie heeft zullen Evince en Papers automatisch detecteren dat het in werkelijkheid om een DjVu-bestand gaat en die vervolgens via DjVuLibre weergeven.
Een kwetsbaarheid in de DjVu-libre kan tot een Out-of-bounds Write leiden, waardoor het uitvoeren van code op het systeem mogelijk is. Een aanvaller zou hier misbruik van kunnen maken door een doelwit een .pdf-bestand te sturen dat in werkelijkheid een DjVu-bestand is. Wanneer de gebruiker het bestand opent zal de document viewer die via DjVuLibre willen weergeven, waarna de code van de aanvallers op het systeem wordt uitgevoerd.
De onderzoekers van het GitHub Security Lab team ontwikkelden een proof-of-concept exploit waarin ze de kwetsbaarheid demonstreren. Nadat de gebruiker het document opent wordt via Google Chrome een YouTube-pagina geladen. De onderzoekers merken op dat dit eenvoudiger was dan het starten van calculator, wat bij veel proof-of-concept exploits wordt gedaan. Ze leggen uit dat dit heeft te maken met het AppArmor profile van Papers, waardoor het geen willekeurige processen kan starten.
Er is echter een uitzondering voor Google Chrome, waardoor de browser kan worden gestart. "Maar het AppArmor profile is niet heel erg restrictief, het laat je willekeurige bestanden naar de home directory van de gebruiker schrijven, behalve voor de hand liggende zoals ~/.bashrc. Dus het zou een vastbesloten aanvaller niet weerhouden van het uitvoeren van code", aldus de onderzoekers. Die rapporteerden het probleem (CVE-2025-53367) op 1 juli aan de ontwikkelaars van DjVuLibre. Die kwamen op 3 juli met versie 3.5.29 waarin het probleem is verholpen.
Kijk zo gaat dat als je niet op patchdinsdag hoeft te wachten!
Eerdergisteren: bug opgelost in broncode, build pipeline aan de slag.
Gisteren: Nieuwe versie verschenen waarin de bug is opgelost.
De bug is binnen 48 uur opgelost, mijn complimenten aan DjVuLibre!
Het verschil met 'Ramen' is dat je geen maand hoeft te wachten tot de software is gerepareerd waarbij in de tussentijd het lek je misschien aan de lippen staat. Daarbij moet je maar afwachten of Micro$oft's WUS 'Ramen' niet verziekt (zoals ik meemaakte) omdat Micro$oft de updates in vekeerde volgorde aanbood en patchte.
P.s Ik gebruik al heel wat jaren Linux en een zogenaamde regressie heb ik, tot nu, nooit ondervonden.
Inderdaad, Apparmor staat alleen toe dat er weblink geopend wordt in de browser. Dit maakt verdere exploits mogelijk maar dan moet je ook nog door de beveiliging van je browser.
Daarnaast, dit heeft helemaal niets met 'Linux' te maken... Het is als zeggen dat Microsoft onveilig is als Adobe PDF reader een vulnerability heeft. Verder worden PDF apps natuurlijk niet standaard geinstalleerd op iedere distributie (enkel Ubuntu?).
I use Arch, btw.
Absoluut waar en het profiel in het artikel is een standaard generiek profiel. AA is een raamwerk en je kunt zelf profielen ontwikkelen die beter bij je passen.
Kijk zo gaat dat als je niet op patchdinsdag hoeft te wachten!
Dat hoef je sowieso niet... zodra een lek bekend is en een dusdanig risico vormt kan je beter gelijk patchen.
Patch tuesday is ook alleen maar geboren om te voorkomen dat dit helemaal niet gebeurde.
Bij lange na niet. De wereld is niet zwart wit.
Het verschil met 'Ramen' is dat je geen maand hoeft te wachten tot de software is gerepareerd waarbij in de tussentijd het lek je misschien aan de lippen staat. Daarbij moet je maar afwachten of Micro$oft's WUS 'Ramen' niet verziekt (zoals ik meemaakte) omdat Micro$oft de updates in vekeerde volgorde aanbood en patchte.
P.s Ik gebruik al heel wat jaren Linux en een zogenaamde regressie heb ik, tot nu, nooit ondervonden.
Ik heb dat met Windows en Linux beide ondervonden, ik gebruik al 30 jaar *nix en werk zo'n 25 jaar met Windows.
Developers maken gewoon fouten, ze worden in software die niet gebruikt wordt nooit ontdekt.
Dat heet gewoon Security by obscurity.
Kijk zo gaat dat als je niet op patchdinsdag hoeft te wachten!
Kijk zo gaat dat als je niet op patchdinsdag hoeft te wachten!
Dat hoef je sowieso niet... zodra een lek bekend is en een dusdanig risico vormt kan je beter gelijk patchen.
Patch tuesday is ook alleen maar geboren om te voorkomen dat dit helemaal niet gebeurde.
Ik kan al mijn change windows van dat jaar en het jaar daarop al op 1 januari bepalen.
Het verschil met 'Ramen' is dat je geen maand hoeft te wachten tot de software is gerepareerd waarbij in de tussentijd het lek je misschien aan de lippen staat. Daarbij moet je maar afwachten of Micro$oft's WUS 'Ramen' niet verziekt (zoals ik meemaakte) omdat Micro$oft de updates in vekeerde volgorde aanbood en patchte.
P.s Ik gebruik al heel wat jaren Linux en een zogenaamde regressie heb ik, tot nu, nooit ondervonden.
Ik heb dat met Windows en Linux beide ondervonden, ik gebruik al 30 jaar *nix en werk zo'n 25 jaar met Windows.
Developers maken gewoon fouten, ze worden in software die niet gebruikt wordt nooit ontdekt.
Dat heet gewoon Security by obscurity.
https://nl.wikipedia.org/wiki/Security_through_obscurity
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?