ʻO Ghostscript, kahi o nā mea hana no ka hana ʻana, hoʻololi a me ka hana ʻana i nā palapala ma nā palapala PostScript a me PDF, he koʻikoʻi koʻikoʻi (CVE-2021-3781) e hiki ai ke hoʻokō i nā code arbitrary i ka wā e hana ai i kahi faila i hoʻonohonoho pono ʻia. I ka hoʻomaka ʻana, ua lawe ʻia ka pilikia i ka manaʻo o Emil Lerner, nāna i ʻōlelo e pili ana i ka nāwaliwali ma ʻAukake 25 ma ka hālāwai ZeroNights X i mālama ʻia ma St. loaʻa nā bonus no ka hōʻike ʻana i nā hoʻouka kaua ma nā lawelawe AirBNB, Dropbox a me Yandex.Real Estate).
Ma Sepatemaba 5, ua ʻike ʻia kahi hana hana ma ka lehulehu ākea e hiki ai iā ʻoe ke hoʻouka i nā ʻōnaehana e holo ana i ka Ubuntu 20.04 ma ka hoʻouna ʻana i kahi palapala i hoʻolālā ʻia i hoʻouka ʻia ma ke ʻano he kiʻi i kahi palapala pūnaewele e holo ana ma ka server me ka hoʻohana ʻana i ka php-imagemagick package. Eia kekahi, e like me ka ʻikepili mua, ua hoʻohana ʻia kahi hana like mai Malaki. Ua ʻōlelo ʻia e hiki ke hoʻouka ʻia nā ʻōnaehana e holo ana i ka GhostScript 9.50, akā ua ʻike ʻia ua loaʻa ka nāwaliwali i nā mana āpau o GhostScript, me ka hoʻokuʻu ʻana i ka 9.55 i hoʻokuʻu ʻia mai Git.
Ua hoʻoholo ʻia ka hoʻoponopono ʻana i ka lā 8 Kepakemapa a, ma hope o ka loiloi o nā hoa, ua ʻae ʻia i loko o ka waihona GhostScript ma Kepakemapa 9th. Ma nā māhele he nui, ʻaʻole paʻa ka pilikia (hiki ke ʻike ʻia ke kūlana o ka hoʻolaha ʻana i nā mea hou ma nā ʻaoʻao o Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD). Hoʻolālā ʻia kahi hoʻokuʻu GhostScript me kahi hoʻoponopono no ka nāwaliwali e paʻi ʻia ma mua o ka hopena o ka mahina.
Hoʻokumu ʻia ka pilikia ma muli o ka hiki ʻole o ke kaʻawale ʻana i ke ʻano hoʻokaʻawale "-dSAFER" ma muli o ka lawa ʻole o ka nānā ʻana i nā ʻāpana o ka mea Postscript "% pipe%", i ʻae ʻia e hoʻokō i nā kauoha shell arbitrary. No ka laʻana, no ka hoʻomaka ʻana i ka pono id ma kahi palapala, e kuhikuhi wale i ka laina "(%pipe%/tmp/&id)(w)file" a i ʻole "(%pipe%/tmp/;id)(r)file".
E hoʻomanaʻo mākou iā ʻoe i nā nāwaliwali o Ghostscript e hoʻonui i ka pōʻino, no ka mea, hoʻohana ʻia kēia pūʻulu i nā noi kaulana no ka hoʻoponopono ʻana i nā palapala PostScript a me PDF. No ka laʻana, kāhea ʻia ʻo Ghostscript i ka wā o ka hana ʻana i ka liʻiliʻi liʻiliʻi o ka papa kuhikuhi, ka helu helu ʻikepili hope, a me ka hoʻololi kiʻi. No ka hoʻouka kūleʻa, i nā manawa he nui ua lawa ka hoʻoiho wale ʻana i ka faila me ka hoʻohana ʻana a i ʻole e nānā i ka papa kuhikuhi me ia i kahi faila file e kākoʻo ana i ka hōʻike ʻana i nā kiʻi liʻiliʻi palapala, no ka laʻana, ma Nautilus.
Hiki ke hoʻohana ʻia nā vulnerabilities ma Ghostscript ma o nā kaʻina hana kiʻi e pili ana i nā pūʻolo ImageMagick a me GraphicsMagick ma o ka hāʻawi ʻana iā lākou i kahi faila JPEG a i ʻole PNG i loaʻa ka code PostScript ma kahi o kahi kiʻi (e hana ʻia kēlā faila ma Ghostscript, no ka mea, ʻike ʻia ke ʻano MIME e ka maʻiʻo, a me ka hilinaʻi ʻole i ka hoʻonui).
Source: opennet.ru