በGhostscript ውስጥ አዲስ ተጋላጭነት

ተከታታይ ድክመቶች አያቆሙም (1, 2, 3, 4, 5, 6) በ ሙስክሪፕትሰነዶችን በፖስትስክሪፕት እና በፒዲኤፍ ቅርፀቶች ለመስራት ፣ ለመለወጥ እና ለማምረት የመሳሪያዎች ስብስብ። እንደ ቀድሞው ተጋላጭነት አዲስ ችግር (CVE-2019-10216) በልዩ ሁኔታ የተነደፉ ሰነዶችን በሚሰራበት ጊዜ የ"-dSAFER" ማግለል ሁነታን (በ "buildfont1" ማጭበርበር) ማለፍ እና የፋይል ስርዓቱን ይዘቶች ለማግኘት ይፈቅዳል, ይህም የዘፈቀደ ኮድ ለማስፈጸም ጥቃትን ለማደራጀት ሊያገለግል ይችላል. በስርዓቱ ውስጥ (ለምሳሌ, ትዕዛዞችን ወደ ~ /.bashrc ወይም ~/.profile በማከል). ማስተካከያው እንደ ይገኛል ጠጋኝ. በስርጭቶች ውስጥ የጥቅል ማሻሻያ መገኘቱን በእነዚህ ገጾች ላይ መከታተል ይችላሉ፡- ደቢያን, Fedora, ኡቡንቱ, SUSE/ክፍት SUSE, RHEL, ቅሥት, FreeBSD.

ይህ ፓኬጅ ለፖስትስክሪፕት እና ፒዲኤፍ ቅርጸቶች በብዙ ታዋቂ መተግበሪያዎች ውስጥ ጥቅም ላይ ስለሚውል በGhostscript ውስጥ ያሉ ተጋላጭነቶች የበለጠ ስጋት እንደሚፈጥሩ ያስታውሱ። ለምሳሌ Ghostscript ተብሎ የሚጠራው የዴስክቶፕ ጥፍር አከሎችን ሲፈጥር፣ ከበስተጀርባ ያለውን መረጃ ሲጠቁም እና ምስሎችን በሚቀይሩበት ጊዜ ነው። ለተሳካ ጥቃት በብዙ አጋጣሚዎች የብዝበዛ ፋይልን ማውረድ ወይም ማውጫውን በ Nautilus ውስጥ ማሰስ ብቻ በቂ ነው። በGhostscript ውስጥ ያሉ ተጋላጭነቶች እንዲሁ በImageMagick እና GraphicsMagick ጥቅሎች ላይ ተመስርተው የ JPEG ወይም PNG ፋይልን ከምስል ይልቅ የፖስትስክሪፕት ኮድ የያዘ ፋይል በማለፍ ጥቅም ላይ ሊውሉ ይችላሉ (እንዲህ ያለው ፋይል በGhostscript ውስጥ ይሰራል፣ የMIME አይነት የሚታወቀው በ ይዘቱ, እና በቅጥያው ላይ ሳይመሰረቱ).

ምንጭ: opennet.ru