Ghostscript, txheej txheej ntawm cov cuab yeej rau kev ua, hloov pauv thiab tsim cov ntaub ntawv hauv PostScript thiab PDF hom, muaj qhov tsis txaus ntseeg tseem ceeb (CVE-2021-3781) uas tso cai rau kev ua txhaum cai thaum ua cov ntaub ntawv tshwj xeeb formatted. Thaum xub thawj, qhov teeb meem tau coj mus rau Emil Lerner, uas tau hais txog qhov muaj qhov tsis zoo thaum Lub Yim Hli 25 ntawm ZeroNights X lub rooj sib tham nyob rau hauv St. Petersburg (daim ntawv qhia tau piav qhia yuav ua li cas Emil, uas yog ib feem ntawm cov phiaj xwm kab laum, siv qhov tsis zoo rau tau txais nyiaj tshwj xeeb rau kev tawm tsam ntawm cov kev pabcuam AirBNB, Dropbox thiab Yandex.Real Estate).
Thaum lub Cuaj Hlis 5, kev siv nyiaj txiag ua haujlwm tau tshwm sim hauv pej xeem sau npe uas tso cai rau koj tawm tsam cov kab ke khiav Ubuntu 20.04 los ntawm kev xa cov ntaub ntawv tshwj xeeb tsim los ua ib qho duab rau lub vev xaib sau ntawv khiav ntawm lub server siv pob php-imagemagick. Ntxiv mus, raws li cov ntaub ntawv ua ntej, qhov kev siv zoo sib xws tau siv txij li lub Peb Hlis. Nws tau thov tias cov tshuab khiav GhostScript 9.50 tuaj yeem raug tawm tsam, tab sis nws tau muab tawm tias qhov muaj qhov tsis zoo nyob hauv txhua qhov txuas ntxiv ntawm GhostScript, suav nrog kev tsim kho 9.55 tso tawm los ntawm Git.
Qhov kev txhim kho tau thov rau lub Cuaj Hlis 8th thiab, tom qab kev txheeb xyuas cov phooj ywg, tau txais mus rau hauv GhostScript chaw cia khoom thaum lub Cuaj Hlis 9th. Hauv ntau qhov kev faib tawm, qhov teeb meem tseem tsis tau kho (qhov xwm txheej ntawm kev tshaj tawm kev hloov tshiab tuaj yeem pom ntawm nplooj ntawv ntawm Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD). Ib qho kev tso tawm GhostScript nrog kev txhim kho rau qhov tsis zoo yog npaj yuav tshaj tawm ua ntej lub hli kawg.
Qhov teeb meem yog tshwm sim los ntawm qhov ua tau los ntawm kev hla "-dSAFER" hom kev rho tawm vim tsis muaj kev kuaj xyuas tsis txaus ntawm cov khoom siv Postscript "%pipe%", uas tso cai rau kev ua tiav ntawm cov lus txib ntawm lub plhaub arbitrary. Piv txwv li, txhawm rau tso tawm cov khoom siv ID hauv ib daim ntawv, tsuas yog qhia cov kab "(%pipe%/tmp/&id)(w)file" lossis "(%pipe%/tmp/;id)(r)file".
Cia peb nco ntsoov koj tias qhov tsis zoo hauv Ghostscript ua rau muaj kev phom sij ntau ntxiv, vim tias pob no tau siv ntau daim ntawv thov nrov rau kev ua cov ntawv PostScript thiab PDF. Piv txwv li, Ghostscript raug hu thaum lub sij hawm tsim duab duab me me, cov ntaub ntawv keeb kwm yav dhau los, thiab cov duab hloov dua siab tshiab. Rau kev ua tiav kev tawm tsam, ntau zaus nws txaus los tsuas yog rub tawm cov ntaub ntawv nrog kev siv lossis saib cov npe nrog nws hauv tus tswj hwm cov ntaub ntawv uas txhawb nqa cov duab duab duab, piv txwv li, hauv Nautilus.
Vulnerabilities hauv Ghostscript kuj tuaj yeem siv los ntawm cov duab processors raws li ImageMagick thiab GraphicsMagick cov pob khoom los ntawm kev hla lawv cov JPEG lossis PNG cov ntaub ntawv uas muaj PostScript code tsis yog duab (xws li cov ntaub ntawv yuav raug ua tiav hauv Ghostscript, txij li hom MIME tau lees paub los ntawm cov ntsiab lus, thiab tsis muaj kev vam khom ntxiv).
Tau qhov twg los: opennet.ru