Am Ghostscript, eng Rei vun Tools fir d'Veraarbechtung, d'Konvertéierung an d'Generéiere vun Dokumenter a PostScript an PDF Formater, Schwachstelle (), wat verursaache kann datt Dateie geännert ginn an arbiträr Kommandoen ausgefouert ginn wann Dir speziell entworf PostScript Dokumenter opmaacht. Mat engem Net-Standard PostScript Bedreiwer an engem Dokument erlaabt Iech en Iwwerschwemmung vum Typ uint32_t beim Berechnung vun der Gréisst ze verursaachen, Erënnerungsberäicher ausserhalb vum zougewisenen Puffer ze iwwerschreiwen an Zougang zu Dateien am FS ze kréien, déi benotzt kënne fir en Attack ze organiséieren fir arbiträr Code am System auszeféieren (zum Beispill, andeems Dir Kommandoen op ~/.bashrc oder ~/. Profil bäigefüügt).
De Problem beaflosst vun 9.50 bis 9.52 (Feeler zënter Verëffentlechung 9.28rc1, mä, no Fuerscher déi d'Schwachheet identifizéiert hunn, erschéngt zënter Versioun 9.50).
Fix proposéiert an der Verëffentlechung (). Hotfix Package Updates si scho verëffentlecht ginn , , . Packagen an Problemer sinn net betraff.
Loosst eis Iech drun erënneren datt Schwachstelle am Ghostscript eng erhéicht Gefor duerstellen, well dëse Package a ville populäre Applikatioune benotzt gëtt fir PostScript an PDF Formater ze veraarbecht. Zum Beispill gëtt Ghostscript wärend der Desktop-Miniaturbildung, Hannergronddatenindexéierung a Bildkonversioun genannt. Fir en erfollegräichen Attack ass et a ville Fäll genuch fir einfach d'Datei mat dem Exploit erofzelueden oder de Verzeechnes mat der Nautilus ze duerchsichen. Schwachstelle am Ghostscript kënnen och duerch Bildprozessoren ausgenotzt ginn op Basis vun de ImageMagick- a GraphicsMagick Packagen andeems se hinnen eng JPEG- oder PNG-Datei mat PostScript-Code anstatt e Bild weiderginn (sou eng Datei gëtt am Ghostscript veraarbecht, well den MIME-Typ unerkannt gëtt vun der Inhalt, an ouni op Extensioun ze vertrauen).
Source: opennet.ru