Следни 4 пропусти во Ghostscript

Две недели потоа откривање минатото критично прашање во Дух со скрипти идентификувани Уште 4 слични пропусти (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), кои овозможуваат со создавање врска до „.forceput“ да се заобиколи режимот на изолација „-dSAFER“ . Кога обработува специјално дизајнирани документи, напаѓачот може да добие пристап до содржината на датотечниот систем и да изврши произволен код на системот (на пример, со додавање на команди на ~/.bashrc или ~/.profile). Поправката е достапна како закрпи (1, 2). Можете да ја следите достапноста на ажурирањата на пакетите во дистрибуциите на овие страници: Debian, Fedora, Ubuntu, SUSE/OPENSUSE, RHEL, Лак, ПИНК, FreeBSD.

Да ве потсетиме дека ранливостите во Ghostscript претставуваат зголемена опасност, бидејќи овој пакет се користи во многу популарни апликации за обработка на формати PostScript и PDF. На пример, Ghostscript се повикува при креирање сликички на работната површина, индексирање на податоци во заднина и конверзија на слики. За успешен напад, во многу случаи доволно е едноставно да ја преземете датотеката со експлоатот или да го прелистувате директориумот со него во Наутилус. Ранливостите во Ghostscript може да се експлоатираат и преку процесорите на слики базирани на пакетите ImageMagick и GraphicsMagick со предавање на JPEG или PNG-датотека што содржи PostScript код наместо слика (таква датотека ќе се обработува во Ghostscript, бидејќи типот MIME е препознаен од содржина, и без да се потпира на проширување).

Извор: opennet.ru