To uker etter tidligere kritisk problem i 4 flere lignende sårbarheter (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), som tillater ved å opprette en kobling til ".forceput" å omgå "-dSAFER" isolasjonsmodus . Ved behandling av spesialdesignede dokumenter kan en angriper få tilgang til innholdet i filsystemet og utføre vilkårlig kode på systemet (for eksempel ved å legge til kommandoer til ~/.bashrc eller ~/.profile). Reparasjonen er tilgjengelig som patcher (, ). Du kan spore tilgjengeligheten av pakkeoppdateringer i distribusjoner på disse sidene: , , , , , , , .
La oss minne deg på at sårbarheter i Ghostscript utgjør en økt fare, siden denne pakken brukes i mange populære applikasjoner for å behandle PostScript- og PDF-formater. For eksempel kalles Ghostscript under opprettelse av miniatyrbilder på skrivebordet, indeksering av bakgrunnsdata og bildekonvertering. For et vellykket angrep er det i mange tilfeller nok å bare laste ned filen med utnyttelsen eller bla gjennom katalogen med den i Nautilus. Sårbarheter i Ghostscript kan også utnyttes gjennom bildeprosessorer basert på ImageMagick- og GraphicsMagick-pakkene ved å sende dem en JPEG- eller PNG-fil som inneholder PostScript-kode i stedet for et bilde (en slik fil vil bli behandlet i Ghostscript, siden MIME-typen gjenkjennes av innhold, og uten å stole på utvidelse).
Kilde: opennet.ru