Ghostscript의 다음 4가지 취약점

XNUMX주 후 감지 과거의 중요한 문제 고스트 스크립트 식별 4개의 유사한 취약점(CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), ".forceput"에 대한 링크를 생성하여 "-dSAFER" 격리 모드를 우회할 수 있습니다. . 특별히 설계된 문서를 처리할 때 공격자는 파일 시스템의 내용에 액세스하고 시스템에서 임의의 코드를 실행할 수 있습니다(예: ~/.bashrc 또는 ~/.profile에 명령을 추가하여). 수정 사항은 패치(1, 2). 다음 페이지에서 배포판의 패키지 업데이트 가용성을 추적할 수 있습니다. 데비안, 페도라, Ubuntu, 수세/오픈수세, RHEL, 아치, 로사, FreeBSD의.

Ghostscript의 취약점은 PostScript 및 PDF 형식을 처리하는 데 널리 사용되는 많은 응용 프로그램에서 사용되므로 위험이 증가한다는 점을 상기시켜 드리겠습니다. 예를 들어, Ghostscript는 데스크탑 썸네일 생성, 배경 데이터 인덱싱 및 이미지 변환 중에 호출됩니다. 성공적인 공격을 위해서는 대부분의 경우 익스플로잇이 포함된 파일을 다운로드하거나 Nautilus에서 해당 파일이 포함된 디렉터리를 탐색하는 것만으로도 충분합니다. Ghostscript의 취약점은 이미지 대신 PostScript 코드가 포함된 JPEG 또는 PNG 파일을 전달하여 ImageMagick 및 GraphicsMagick 패키지 기반 이미지 프로세서를 통해 악용될 수도 있습니다. 내용에 의존하지 않고 확장자에 의존하지 않음).

출처 : opennet.ru