F'Ghostscript, sett ta' għodod għall-ipproċessar, il-konverżjoni u l-ġenerazzjoni ta' dokumenti f'formati PostScript u PDF, vulnerabbiltà (), li jistgħu jikkawżaw fajls li jiġu modifikati u kmandi arbitrarji jiġu eżegwiti meta jinfetħu dokumenti PostScript ddisinjati apposta. L-użu ta' operatur PostScript mhux standard f'dokument jippermettilek li tikkawża overflow tat-tip uint32_t meta tikkalkula d-daqs, tikteb fuq żoni tal-memorja barra mill-buffer allokat u tikseb aċċess għal fajls fl-FS, li jistgħu jintużaw biex jorganizzaw attakk biex tesegwixxi kodiċi arbitrarju fuq is-sistema (per eżempju, billi żżid kmandi għal ~/.bashrc jew ~/.
Il-problema taffettwa minn 9.50 sa 9.52 (żball mir-rilaxx 9.28rc1, iżda, skond riċerkaturi li identifikaw il-vulnerabbiltà, jidher mill-verżjoni 9.50).
Waħħal propost fir-rilaxx (). L-aġġornamenti tal-pakketti tal-hotfix diġà ġew rilaxxati għal , , . Pakketti fi problemi mhumiex affettwati.
Ejjew infakkarkom li l-vulnerabbiltajiet f'Ghostscript joħolqu periklu akbar, peress li dan il-pakkett jintuża f'ħafna applikazzjonijiet popolari għall-ipproċessar tal-formati PostScript u PDF. Pereżempju, Ghostscript jissejjaħ waqt il-ħolqien ta' thumbnail tad-desktop, l-indiċjar tad-dejta fl-isfond u l-konverżjoni tal-immaġni. Għal attakk ta 'suċċess, f'ħafna każijiet huwa biżżejjed li sempliċiment tniżżel il-fajl bl-isfruttament jew tfittex id-direttorju miegħu f'Nautilus. Il-vulnerabbiltajiet f’Ghostscript jistgħu wkoll jiġu sfruttati permezz ta’ proċessuri tal-immaġni bbażati fuq il-pakketti ImageMagick u GraphicsMagick billi jgħadduhom fajl JPEG jew PNG li jkun fih kodiċi PostScript minflok immaġini (tali fajl se jiġi pproċessat f’Ghostscript, peress li t-tip MIME huwa rikonoxxut mill- kontenut, u mingħajr ma sserraħ fuq l-estensjoni).
Sors: opennet.ru