Эки жумадан кийин өткөн маанилүү маселе Дагы 4 окшош кемчилик (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), алар ".forceput" шилтемесин түзүү аркылуу "-dSAFER" изоляция режимин айланып өтүүгө мүмкүндүк берет. . Атайын иштелип чыккан документтерди иштеп чыгууда чабуулчу файлдык системанын мазмунуна кире алат жана системада каалаган кодду аткара алат (мисалы, ~/.bashrc же ~/.profileге буйруктарды кошуу менен). Оңдоо тактар катары жеткиликтүү (, ). Бул баракчалардагы бөлүштүрүүлөрдө топтом жаңыртууларынын болушуна көз салсаңыз болот: , , , , , , , .
Эске сала кетсек, Ghostscript'тин алсыздыктары чоң коркунуч туудурат, анткени бул пакет PostScript жана PDF форматтарын иштетүү үчүн көптөгөн популярдуу тиркемелерде колдонулат. Мисалы, Ghostscript рабочий эскизди түзүү, фондук маалыматтарды индекстөө жана сүрөттү өзгөртүү учурунда чакырылат. Ийгиликтүү чабуул үчүн, көп учурларда жөн гана эксплоит менен файлды жүктөп алуу же аны менен Nautilus каталогун карап чыгуу жетиштүү. Ghostscript'тин алсыздыктары ImageMagick жана GraphicsMagick топтомдорунун негизиндеги сүрөт процессорлору аркылуу аларга сүрөттүн ордуна PostScript кодун камтыган JPEG же PNG файлын өткөрүү аркылуу пайдаланылышы мүмкүн (мындай файл Ghostscriptте иштетилет, анткени MIME түрүн тааныйт. мазмуну жана кеңейтүүгө таянбастан).
Source: opennet.ru