Divas nedēļas pēc pagātnes kritiskā problēma Vēl 4 līdzīgas ievainojamības (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), kas ļauj, izveidojot saiti uz “.forceput”, apiet “-dSAFER” izolācijas režīmu. . Apstrādājot īpaši izstrādātus dokumentus, uzbrucējs var piekļūt failu sistēmas saturam un izpildīt patvaļīgu kodu sistēmā (piemēram, pievienojot komandas ~/.bashrc vai ~/.profile). Labojums ir pieejams kā ielāpi (, ). Pakešu atjauninājumu pieejamībai izplatījumos varat izsekot šajās lapās: , , , , , , , .
Atgādināsim, ka Ghostscript ievainojamības rada paaugstinātu bīstamību, jo šī pakotne tiek izmantota daudzās populārās lietojumprogrammās PostScript un PDF formātu apstrādei. Piemēram, Ghostscript tiek izsaukts darbvirsmas sīktēlu izveides, fona datu indeksēšanas un attēlu konvertēšanas laikā. Veiksmīgam uzbrukumam daudzos gadījumos pietiek vienkārši lejupielādēt failu ar izlietojumu vai pārlūkot ar to direktoriju Nautilus. Ghostscript ievainojamības var izmantot arī, izmantojot attēlu procesorus, kuru pamatā ir ImageMagick un GraphicsMagick pakotnes, attēla vietā nosūtot tiem JPEG vai PNG failu, kas satur PostScript kodu (šāds fails tiks apstrādāts programmā Ghostscript, jo MIME tipu atpazīst saturu un nepaļaujoties uz paplašinājumu).
Avots: opennet.ru