A PostScript interpreter and renderer
CentOS Sources
2018-12-03 2796d4231d6c7bc5d71b5361828c16f2edaea173
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
From: Chris Liddell <chris.liddell@artifex.com>
Date: Tue, 21 Aug 2018 19:17:05 +0000 (+0100)
Subject: Bug 699657: properly apply file permissions to .tempfile
 
Bug 699657: properly apply file permissions to .tempfile
 
https://git.ghostscript.com/?p=ghostpdl.git;a=commit;h=0d3901189f245232f0161addf215d7268c4d05a3
---
 
diff -up a/psi/zfile.c.cve-2018-15908 b/psi/zfile.c
--- a/psi/zfile.c.cve-2018-15908    2018-11-14 15:13:31.249625819 +0100
+++ b/psi/zfile.c    2018-11-14 15:14:16.933831779 +0100
@@ -121,7 +121,7 @@ make_invalid_file(i_ctx_t *i_ctx_p, ref
 /* strings of the permitgroup array. */
 static int
 check_file_permissions_reduced(i_ctx_t *i_ctx_p, const char *fname, int len,
-                        const char *permitgroup)
+                        gx_io_device *iodev, const char *permitgroup)
 {
     long i;
     ref *permitlist = NULL;
@@ -131,8 +131,14 @@ check_file_permissions_reduced(i_ctx_t *
     bool use_windows_pathsep = (gs_file_name_check_separator(win_sep2, 1, win_sep2) == 1);
     uint plen = gp_file_name_parents(fname, len);
 
-    /* Assuming a reduced file name. */
+    /* we're protecting arbitrary file system accesses, not Postscript device accesses.
+     * Although, note that %pipe% is explicitly checked for and disallowed elsewhere
+     */
+    if (iodev && iodev != iodev_default(imemory)) {
+        return 0;
+    }
 
+    /* Assuming a reduced file name. */
     if (dict_find_string(&(i_ctx_p->userparams), permitgroup, &permitlist) <= 0)
         return 0;       /* if Permissions not found, just allow access */
 
@@ -187,14 +193,14 @@ check_file_permissions_reduced(i_ctx_t *
 /* strings of the permitgroup array */
 static int
 check_file_permissions(i_ctx_t *i_ctx_p, const char *fname, int len,
-                        const char *permitgroup)
+                        gx_io_device *iodev, const char *permitgroup)
 {
     char fname_reduced[gp_file_name_sizeof];
     uint rlen = sizeof(fname_reduced);
 
     if (gp_file_name_reduce(fname, len, fname_reduced, &rlen) != gp_combine_success)
         return e_invalidaccess;         /* fail if we couldn't reduce */
-    return check_file_permissions_reduced(i_ctx_p, fname_reduced, rlen, permitgroup);
+    return check_file_permissions_reduced(i_ctx_p, fname_reduced, rlen, iodev, permitgroup);
 }
 
 /* <name_string> <access_string> file <file> */
@@ -298,7 +304,7 @@ zdeletefile(i_ctx_t *i_ctx_p)
         return code;
     if (pname.iodev == iodev_default(imemory)) {
         if ((code = check_file_permissions(i_ctx_p, pname.fname, pname.len,
-                "PermitFileControl")) < 0 &&
+                pname.iodev, "PermitFileControl")) < 0 &&
                  !file_is_tempfile(i_ctx_p, op->value.bytes, r_size(op))) {
             return code;
         }
@@ -382,7 +388,7 @@ file_continue(i_ctx_t *i_ctx_p)
         } else if (code > len)      /* overran string */
             return_error(gs_error_rangecheck);
         else if (iodev != iodev_default(imemory)
-              || (check_file_permissions_reduced(i_ctx_p, (char *)pscratch->value.bytes, code + devlen, "PermitFileReading")) == 0) {
+              || (check_file_permissions_reduced(i_ctx_p, (char *)pscratch->value.bytes, code + devlen, NULL, "PermitFileReading")) == 0) {
             push(1);
             ref_assign(op, pscratch);
             r_set_size(op, code + devlen);
@@ -432,12 +438,12 @@ zrenamefile(i_ctx_t *i_ctx_p)
                  * and FileWriting permissions to the destination file/path.
                  */
               ((check_file_permissions(i_ctx_p, pname1.fname, pname1.len,
-                                        "PermitFileControl") < 0 &&
+                                        pname1.iodev, "PermitFileControl") < 0 &&
                   !file_is_tempfile(i_ctx_p, op[-1].value.bytes, r_size(op - 1))) ||
               (check_file_permissions(i_ctx_p, pname2.fname, pname2.len,
-                                        "PermitFileControl") < 0 ||
+                                        pname2.iodev, "PermitFileControl") < 0 ||
               check_file_permissions(i_ctx_p, pname2.fname, pname2.len,
-                                        "PermitFileWriting") < 0 )))) {
+                                        pname2.iodev, "PermitFileWriting") < 0 )))) {
             code = gs_note_error(e_invalidfileaccess);
         } else {
             code = (*pname1.iodev->procs.rename_file)(pname1.iodev,
@@ -484,8 +490,11 @@ zstatus(i_ctx_t *i_ctx_p)
                 code = gs_terminate_file_name(&pname, imemory, "status");
                 if (code < 0)
                     return code;
-                code = (*pname.iodev->procs.file_status)(pname.iodev,
+                if ((code = check_file_permissions(i_ctx_p, pname.fname, pname.len,
+                                       pname.iodev, "PermitFileReading")) >= 0) {
+                    code = (*pname.iodev->procs.file_status)(pname.iodev,
                                                        pname.fname, &fstat);
+                }
                 switch (code) {
                     case 0:
                         check_ostack(4);
@@ -694,8 +703,24 @@ ztempfile(i_ctx_t *i_ctx_p)
     }
 
     if (gp_file_name_is_absolute(pstr, strlen(pstr))) {
-        if (check_file_permissions(i_ctx_p, pstr, strlen(pstr),
-                                   "PermitFileWriting") < 0) {
+        int plen = strlen(pstr);
+        const char *sep = gp_file_name_separator();
+#ifdef DEBUG
+        int seplen = strlen(sep);
+        if (seplen != 1)
+            return_error(gs_error_Fatal);
+#endif
+        /* strip off the file name prefix, leave just the directory name
+         * so we can check if we are allowed to write to it
+         */
+        for ( ; plen >=0; plen--) {
+            if (pstr[plen] == sep[0])
+                break;
+        }
+        memcpy(fname, pstr, plen);
+        fname[plen] = '\0';
+        if (check_file_permissions(i_ctx_p, fname, strlen(fname),
+                                   NULL, "PermitFileWriting") < 0) {
             return_error(e_invalidfileaccess);
         }
     } else if (!prefix_is_simple(pstr)) {
@@ -837,6 +862,7 @@ zopen_file(i_ctx_t *i_ctx_p, const gs_pa
            const char *file_access, stream **ps, gs_memory_t *mem)
 {
     gx_io_device *const iodev = pfn->iodev;
+    int code = 0;
 
     if (pfn->fname == NULL)     /* just a device */
         return iodev->procs.open_device(iodev, file_access, ps, mem);
@@ -847,7 +873,7 @@ zopen_file(i_ctx_t *i_ctx_p, const gs_pa
             open_file = iodev_os_open_file;
         /* Check OS files to make sure we allow the type of access */
         if (open_file == iodev_os_open_file) {
-            int code = check_file_permissions(i_ctx_p, pfn->fname, pfn->len,
+            code = check_file_permissions(i_ctx_p, pfn->fname, pfn->len, pfn->iodev,
                 file_access[0] == 'r' ? "PermitFileReading" : "PermitFileWriting");
 
             if (code < 0 && !file_is_tempfile(i_ctx_p,
@@ -894,7 +920,7 @@ check_file_permissions_aux(i_ctx_t *i_ct
     /* fname must be reduced. */
     if (i_ctx_p == NULL)
         return 0;
-    if (check_file_permissions_reduced(i_ctx_p, fname, flen, "PermitFileReading") < 0)
+    if (check_file_permissions_reduced(i_ctx_p, fname, flen, NULL, "PermitFileReading") < 0)
         return_error(e_invalidfileaccess);
     return 0;
 }