Bythefnos ar ôl mater tyngedfennol y gorffennol yn 4 gwendid mwy tebyg (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), sy'n caniatáu trwy greu dolen i “.forceput” osgoi'r modd ynysu “-dSAFER”. . Wrth brosesu dogfennau a ddyluniwyd yn arbennig, gall ymosodwr gael mynediad i gynnwys y system ffeiliau a gweithredu cod mympwyol ar y system (er enghraifft, trwy ychwanegu gorchmynion at ~/.bashrc neu ~/.profile). Mae'r atgyweiriad ar gael fel clytiau (, ). Gallwch olrhain argaeledd diweddariadau pecyn mewn dosbarthiadau ar y tudalennau hyn: , , , , , , , .
Dwyn i gof bod y gwendidau yn Ghostscript yn peri mwy o risg, gan fod y pecyn hwn yn cael ei ddefnyddio mewn llawer o gymwysiadau poblogaidd ar gyfer prosesu fformatau PostScript a PDF. Er enghraifft, gelwir Ghostscript wrth greu mân-luniau bwrdd gwaith, wrth fynegeio data yn y cefndir, ac wrth drosi delweddau. Ar gyfer ymosodiad llwyddiannus, mewn llawer o achosion, mae lawrlwytho'r ffeil ymelwa neu bori'r cyfeiriadur ag ef yn Nautilus yn ddigon. Gellir manteisio hefyd ar wendidau yn Ghostscript trwy broseswyr delwedd yn seiliedig ar becynnau ImageMagick a GraphicsMagick trwy basio ffeil JPEG neu PNG iddynt sy'n cynnwys cod PostScript yn lle delwedd (bydd ffeil o'r fath yn cael ei phrosesu yn Ghostscript, gan fod y math MIME yn cael ei gydnabod gan y cynnwys, a heb ddibynnu ar yr estyniad).
Ffynhonnell: opennet.ru