Ghostscript, fitambarana fitaovana amin'ny fanodinana, famadihana ary famokarana antontan-taratasy amin'ny endrika PostScript sy PDF, dia manana vulnerability manakiana (CVE-2021-3781) izay mamela ny famonoana kaody tsy misy dikany rehefa manamboatra rakitra manokana. Tamin'ny voalohany, ny olana dia nentina tany amin'ny sain'i Emil Lerner, izay niresaka momba ny vulnerability tamin'ny 25 Aogositra tamin'ny fihaonambe ZeroNights X natao tao St. mahazo tombony amin'ny fanehoana fanafihana amin'ny serivisy AirBNB, Dropbox ary Yandex.Real Estate).
Tamin'ny 5 septambra, nisy fanararaotana miasa niseho teo amin'ny sehatra ho an'ny daholobe izay ahafahanao manafika ireo rafitra mitantana Ubuntu 20.04 amin'ny alΓ lan'ny fandefasana antontan-taratasy namboarina manokana napetraka ho sary ho an'ny script web mandeha amin'ny mpizara mampiasa ny fonosana php-imagemagick. Ankoatr'izay, araka ny angon-drakitra vonjimaika, ny fitrandrahana mitovy amin'izany dia efa nampiasaina nanomboka tamin'ny volana martsa. Nolazaina fa mety ho voatafika ny rafitra mandeha amin'ny GhostScript 9.50, saingy hita fa misy ny vulnerability amin'ny dikan-teny GhostScript manaraka rehetra, anisan'izany ny famoahana 9.55 amin'ny fampandrosoana avy amin'ny Git.
Natolotra ny 8 septambra ny fanamboarana ary, taorian'ny famerenan'ny mpiara-mianatra, dia nekena tao amin'ny tahiry GhostScript tamin'ny 9 septambra. Amin'ny fizarana maro dia mbola tsy voavaha ny olana (azo jerena ao amin'ny pejin'ny Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD ny satan'ny famoahana fanavaozana). Ny famoahana GhostScript miaraka amin'ny famahana ny vulnerability dia kasaina havoaka alohan'ny faran'ny volana.
Ny olana dia vokatry ny mety handalo ny fomba fitokana-monina "-dSAFER" noho ny tsy fahampian'ny fanamarinana ny mari-pamantarana ny fitaovana Postscript "% pipe%", izay namela ny famonoana ny baiko akorandriaka tsy misy dikany. Ohatra, mba hanombohana ny id utility amin'ny antontan-taratasy iray, mariho fotsiny ny tsipika "(%pipe%/tmp/&id)(w)file" na "(%pipe%/tmp/;id)(r)file".
Avelao izahay hampahatsiahy anao fa ny vulnerability ao amin'ny Ghostscript dia miteraka loza mitatao, satria ity fonosana ity dia ampiasaina amin'ny fampiharana malaza maro amin'ny fanodinana ny endrika PostScript sy PDF. Ohatra, ny Ghostscript dia antsoina mandritra ny famoronana thumbnail desktop, ny fanondroana angon-drakitra momba ny background, ary ny fiovan'ny sary. Ho an'ny fanafihana mahomby, amin'ny toe-javatra maro dia ampy ny misintona fotsiny ny rakitra miaraka amin'ny exploit na mijery ny lahatahiry miaraka aminy amin'ny mpitantana rakitra izay manohana ny fampisehoana an-tsarimihetsika an-tsoratra, ohatra, ao amin'ny Nautilus.
Ny vulnerabilities ao amin'ny Ghostscript dia azo trandrahana amin'ny alΓ lan'ny mpanodina sary mifototra amin'ny fonosana ImageMagick sy GraphicsMagick amin'ny alΓ lan'ny fandefasana azy ireo rakitra JPEG na PNG misy kaody PostScript fa tsy sary (ny rakitra toy izany dia hokarakaraina amin'ny Ghostscript, satria ny karazana MIME dia eken'ny votoaty, ary tsy miantehitra amin'ny fanitarana).
Source: opennet.ru