Спустя две недели с момента прошлой критической проблемы в ещё 4 похожие уязвимости (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), которые позволяют через создание ссылки на «.forceput» обойти режим изоляции «-dSAFER». При обработке специально оформленных документов атакующий может получить доступ к содержимому ФС и добиться выполнения произвольного кода в системе (например, через добавление команд в ~/.bashrc или ~/.profile). Исправление доступно в виде патчей (, ). За появлением обновления пакетов в дистрибутивах можно проследить на данных страницах: , , , , , , , .
Ka em ji we re bi bîr bînin ku qelsiyên di Ghostscript de xeterek zêde çêdikin, ji ber ku ev pakêt di gelek serîlêdanên populer de ji bo pêvajoyên formatên PostScript û PDF-ê tê bikar anîn. Mînakî, Ghostscript di dema afirandina tîrêjên sermaseyê, nîşankirina daneya paşîn, û veguheztina wêneyê de tê gotin. Ji bo êrîşek serketî, di pir rewşan de bes e ku meriv pelê bi îstîsmarê dakêşîne an pelrêça bi wê re li Nautilus bigere. Xalên di Ghostscript de jî dikarin bi navgîniya pêvajoyên wêneyê yên li ser bingeha pakêtên ImageMagick û GraphicsMagick ve werin bikar anîn û pelek JPEG an PNG ku koda PostScript-ê tê de li şûna wêneyek tê de derbas dibe (pelek wusa dê di Ghostscript de were hilanîn, ji ber ku celebê MIME ji hêla naverok, û bêyî ku xwe bispêre dirêjkirinê).
Source: opennet.ru