Երկու շաբաթ անց անցյալում կրիտիկական խնդիր Եվս 4 նմանատիպ խոցելիություն (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), որոնք թույլ են տալիս «.forceput» հղում ստեղծելով շրջանցել «-dSAFER» մեկուսացման ռեժիմը։ . Հատուկ մշակված փաստաթղթերը մշակելիս հարձակվողը կարող է մուտք գործել ֆայլային համակարգի բովանդակություն և կամայական կոդ գործարկել համակարգում (օրինակ՝ հրամաններ ավելացնելով ~/.bashrc կամ ~/.profile-ում): Ֆիքսումը հասանելի է որպես կարկատներ (, ). Դուք կարող եք հետևել փաթեթների թարմացումների հասանելիությանը բաշխումներում այս էջերում. , , , , , , , .
Հիշեցնենք, որ Ghostscript-ի խոցելիությունը մեծ վտանգ է ներկայացնում, քանի որ այս փաթեթն օգտագործվում է բազմաթիվ հայտնի հավելվածներում՝ PostScript և PDF ձևաչափերի մշակման համար: Օրինակ, Ghostscript-ը կանչվում է աշխատասեղանի մանրապատկերների ստեղծման, ֆոնային տվյալների ինդեքսավորման և պատկերների փոխակերպման ժամանակ: Հաջող հարձակման համար շատ դեպքերում բավական է պարզապես ներբեռնել ֆայլը exploit-ով կամ թերթել գրացուցակը Nautilus-ում: Ghostscript-ի խոցելիությունը կարող է օգտագործվել նաև ImageMagick և GraphicsMagick փաթեթների վրա հիմնված պատկերի պրոցեսորների միջոցով՝ պատկերի փոխարեն նրանց փոխանցելով PostScript կոդ պարունակող JPEG կամ PNG ֆայլ (այդպիսի ֆայլը կմշակվի Ghostscript-ում, քանի որ MIME տեսակը ճանաչվում է բովանդակություն և առանց ընդլայնման վրա հենվելու):
Source: opennet.ru