De semèn apre sot pase pwoblèm kritik nan 4 plis frajilite menm jan an (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), ki pèmèt pa kreye yon lyen nan ".forceput" kontoune mòd izolasyon "-dSAFER" . Lè w ap trete dokiman ki fèt espesyalman, yon atakè ka jwenn aksè nan sa ki nan sistèm dosye a epi egzekite kòd abitrè sou sistèm nan (pa egzanp, lè w ajoute kòmandman nan ~/.bashrc oswa ~/.profile). Ranje a disponib kòm plak (, ). Ou ka swiv disponiblite mizajou pake yo nan distribisyon nan paj sa yo: , , , , , , , .
Sonje byen, frajilite yo nan Ghostscript reprezante yon risk ogmante, paske yo itilize pake sa a nan anpil aplikasyon popilè pou trete fòma PostScript ak PDF. Pou egzanp, Ghostscript yo rele lè w ap kreye miniature Desktop, lè w ap endèks done nan background nan, ak lè w ap konvèti imaj. Pou yon atak siksè, nan anpil ka, tou senpleman telechaje dosye a esplwate oswa navige anyè a ak li nan Nautilus se ase. Vilnerabilite nan Ghostscript kapab eksplwate tou atravè processeurs imaj ki baze sou pakè ImageMagick ak GraphicsMagick lè w pase yo yon fichye JPEG oswa PNG ki gen kòd PostScript olye pou yo yon imaj (yon fichye konsa pral trete nan Ghostscript, paske kalite MIME a rekonèt pa. kontni an, epi san konte sou ekstansyon an).
Sous: opennet.ru