دو هفته بعد موضوع بحرانی گذشته در 4 آسیب پذیری مشابه دیگر (CVE-2019-14811، CVE-2019-14812، CVE-2019-14813، CVE-2019-14817)، که با ایجاد یک پیوند به ".forceput" اجازه می دهد تا حالت جداسازی "-dSAFER" را دور بزند. . هنگام پردازش اسناد طراحی شده خاص، مهاجم می تواند به محتویات سیستم فایل دسترسی پیدا کند و کد دلخواه را روی سیستم اجرا کند (به عنوان مثال، با افزودن دستورات به ~/.bashrc یا ~/.profile). اصلاح به صورت پچ در دسترس است (, ). در این صفحات میتوانید دسترسی بهروزرسانیهای بسته را در توزیعها پیگیری کنید: , , , , , , , .
به شما یادآوری می کنیم که آسیب پذیری ها در Ghostscript خطر بیشتری را ایجاد می کنند، زیرا این بسته در بسیاری از برنامه های محبوب برای پردازش فرمت های PostScript و PDF استفاده می شود. به عنوان مثال، Ghostscript در هنگام ایجاد تصاویر کوچک دسکتاپ، نمایه سازی داده های پس زمینه و تبدیل تصویر فراخوانی می شود. برای یک حمله موفقیت آمیز، در بسیاری از موارد کافی است به سادگی فایل را با اکسپلویت دانلود کنید یا فهرستی را با آن در Nautilus مرور کنید. آسیبپذیریها در Ghostscript همچنین میتوانند از طریق پردازشگرهای تصویر مبتنی بر بستههای ImageMagick و GraphicsMagick با ارسال یک فایل JPEG یا PNG حاوی کد PostScript به جای تصویر مورد سوء استفاده قرار گیرند (چنین فایلی در Ghostscript پردازش میشود، زیرا نوع MIME توسط محتوا، و بدون اتکا به پسوند).
منبع: opennet.ru