Dúas semanas despois cuestión crítica pasada en 4 vulnerabilidades máis semellantes (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), que permiten evitar o modo de illamento "-dSAFER" creando unha ligazón a ".forceput". Ao procesar documentos especialmente deseñados, un atacante pode acceder ao contido do sistema de ficheiros e lograr a execución de código arbitrario no sistema (por exemplo, engadindo comandos a ~/.bashrc ou ~/.profile). A corrección está dispoñible como parches (, ). Podes seguir a aparición das actualizacións de paquetes nas distribucións nestas páxinas: , , , , , , , .
Recordemos que as vulnerabilidades de Ghostscript supoñen un maior risco, xa que este paquete utilízase en moitas aplicacións populares para procesar formatos PostScript e PDF. Por exemplo, Ghostscript chámase ao crear miniaturas do escritorio, ao indexar datos en segundo plano e ao converter imaxes. Para un ataque exitoso, en moitos casos, basta con descargar o ficheiro exploit ou navegar polo directorio con el en Nautilus. As vulnerabilidades en Ghostscript tamén se poden explotar a través de procesadores de imaxe baseados nos paquetes ImageMagick e GraphicsMagick pasándolles un ficheiro JPEG ou PNG que conteña código PostScript en lugar dunha imaxe (este ficheiro procesarase en Ghostscript, xa que o tipo MIME é recoñecido por o contido, e sen depender da extensión).
Fonte: opennet.ru