Dua minggu setelahnya masalah kritis masa lalu di 4 kerentanan serupa lainnya (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), yang memungkinkan dengan membuat tautan ke β.forceputβ untuk melewati mode isolasi β-dSAFERβ . Saat memproses dokumen yang dirancang khusus, penyerang dapat memperoleh akses ke konten sistem file dan mengeksekusi kode arbitrer pada sistem (misalnya, dengan menambahkan perintah ke ~/.bashrc atau ~/.profile). Perbaikan tersedia sebagai tambalan (, ). Anda dapat melacak ketersediaan pembaruan paket di distribusi di halaman ini: , , , , , , , .
Izinkan kami mengingatkan Anda bahwa kerentanan dalam Ghostscript menimbulkan bahaya yang semakin besar, karena paket ini digunakan di banyak aplikasi populer untuk memproses format PostScript dan PDF. Misalnya, Ghostscript dipanggil selama pembuatan thumbnail desktop, pengindeksan data latar belakang, dan konversi gambar. Agar serangan berhasil, dalam banyak kasus cukup mengunduh file dengan eksploitasi atau menelusuri direktori dengan file tersebut di Nautilus. Kerentanan dalam Ghostscript juga dapat dieksploitasi melalui pemroses gambar berdasarkan paket ImageMagick dan GraphicsMagick dengan meneruskannya file JPEG atau PNG yang berisi kode PostScript alih-alih gambar (file tersebut akan diproses dalam Ghostscript, karena tipe MIME dikenali oleh konten, dan tanpa bergantung pada ekstensi).
Sumber: opennet.ru