Twa wiken letter ferline kritysk probleem yn 4 mear ferlykbere kwetsberens (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), wêrtroch troch it meitsjen fan in keppeling nei ".forceput" de "-dSAFER" isolaasjemodus te omgean . By it ferwurkjen fan spesjaal ûntwurpen dokuminten kin in oanfaller tagong krije ta de ynhâld fan it bestânsysteem en willekeurige koade op it systeem útfiere (bygelyks troch kommando's ta te foegjen oan ~/.bashrc of ~/.profile). De fix is beskikber as patches (, ). Jo kinne de beskikberens fan pakketfernijings yn distribúsjes folgje op dizze siden: , , , , , , , .
Lit ús jo herinnerje dat kwetsberens yn Ghostscript in ferhege gefaar foarmje, om't dit pakket wurdt brûkt yn in protte populêre applikaasjes foar it ferwurkjen fan PostScript- en PDF-formaten. Bygelyks, Ghostscript wurdt neamd tidens it meitsjen fan buroblêd-miniatueren, yndeksearjen fan eftergrûngegevens en ôfbyldingskonverzje. Foar in suksesfolle oanfal is it yn in protte gefallen genôch om it bestân gewoan te downloaden mei de eksploitaasje of troch de map dêrmei te blêdzjen yn Nautilus. Kwetsberheden yn Ghostscript kinne ek eksploitearre wurde fia ôfbyldingsferwurkers basearre op de ImageMagick- en GraphicsMagick-pakketten troch harren in JPEG- of PNG-bestân troch te jaan mei PostScript-koade ynstee fan in ôfbylding (sa'n bestân sil ferwurke wurde yn Ghostscript, om't it MIME-type wurdt werkend troch de ynhâld, en sûnder te betrouwen op útwreiding).
Boarne: opennet.ru