ProHoster > Blog > vaovao amin'ny Internet > Ny vulnerability amin'ny Ghostscript izay mamela ny famonoana kaody rehefa manokatra antontan-taratasy PostScript

Ny vulnerability amin'ny Ghostscript izay mamela ny famonoana kaody rehefa manokatra antontan-taratasy PostScript

Π’ Ghostscript, Π½Π°Π±ΠΎΡ€Π΅ инструмСнтов для ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ, прСобразования ΠΈ Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΎΠ² Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π°Ρ… PostScript ΠΈ PDF, fantatra vulnerability (CVE-2020-15900), которая ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ измСнСнию Ρ„Π°ΠΉΠ»ΠΎΠ² ΠΈ запуску ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½Ρ‹Ρ… ΠΊΠΎΠΌΠ°Π½Π΄ ΠΏΡ€ΠΈ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΈΠΈ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ ΠΎΡ„ΠΎΡ€ΠΌΠ»Π΅Π½Π½Ρ‹Ρ… Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΎΠ² Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ PostScript. ИспользованиС Π² Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π΅ нСстандартного PostScript-ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΎΡ€Π° rsearch позволяСт Π²Ρ‹Π·Π²Π°Ρ‚ΡŒ ΠΏΠ΅Ρ€Π΅ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ Ρ‚ΠΈΠΏΠ° uint32_t ΠΏΡ€ΠΈ вычислСнии Ρ€Π°Π·ΠΌΠ΅Ρ€Π°, ΠΏΠ΅Ρ€Π΅ΠΏΠΈΡΠ°Ρ‚ΡŒ области памяти Π²Π½Π΅ Π²Ρ‹Π΄Π΅Π»Π΅Π½Π½ΠΎΠ³ΠΎ Π±ΡƒΡ„Π΅Ρ€Π° ΠΈ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ Ρ„Π°ΠΉΠ»Π°ΠΌ Π² Π€Π‘, Ρ‡Ρ‚ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ Π°Ρ‚Π°ΠΊΠΈ для выполнСния ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½ΠΎΠ³ΠΎ ΠΊΠΎΠ΄Π° Π² систСмС (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Ρ‡Π΅Ρ€Π΅Π· Π΄ΠΎΠ±Π°Π²Π»Π΅Π½ΠΈΠ΅ ΠΊΠΎΠΌΠ°Π½Π΄ Π² ~/.bashrc ΠΈΠ»ΠΈ ~/.profile).

ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°Π΅Ρ‚ NY ANY с 9.50 ΠΏΠΎ 9.52 (ошибка IZAO начиная с выпуска 9.28rc1, Π½ΠΎ, ΠΏΠΎ tahirin-kevitra Π²Ρ‹ΡΠ²ΠΈΠ²ΡˆΠΈΡ… ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ исслСдоватСлСй, проявляСтся с вСрсии 9.50).

Π˜ΡΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ ΠΏΡ€Π΅Π΄Π»ΠΎΠΆΠ΅Π½ΠΎ Π² выпускС 9.52.1 (damba). ОбновлСния ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² с исправлСниСм ΡƒΠΆΠ΅ Π²Ρ‹ΠΏΡƒΡ‰Π΅Π½Ρ‹ для Debian, Ubuntu, suse. ΠŸΠ°ΠΊΠ΅Ρ‚Ρ‹ Π² RHEL ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ Π½Π΅ ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Ρ‹.

Avelao izahay hampahatsiahy anao fa ny vulnerability ao amin'ny Ghostscript dia miteraka loza mitatao, satria ity fonosana ity dia ampiasaina amin'ny fampiharana malaza maro amin'ny fanodinana ny endrika PostScript sy PDF. Ohatra, ny Ghostscript dia antsoina mandritra ny famoronana thumbnail desktop, ny fanondroana angon-drakitra momba ny background, ary ny fiovan'ny sary. Ho an'ny fanafihana mahomby, amin'ny tranga maro dia ampy ny misintona fotsiny ny rakitra miaraka amin'ny exploit na mijery ny lahatahiry miaraka aminy ao amin'ny Nautilus. Ny vulnerabilities ao amin'ny Ghostscript dia azo trandrahana amin'ny alΓ lan'ny mpanodina sary mifototra amin'ny fonosana ImageMagick sy GraphicsMagick amin'ny alΓ lan'ny fandefasana azy ireo rakitra JPEG na PNG misy kaody PostScript fa tsy sary (ny rakitra toy izany dia hokarakaraina amin'ny Ghostscript, satria ny karazana MIME dia eken'ny votoaty, ary tsy miantehitra amin'ny fanitarana).

Source: opennet.ru

Add a comment