Ghostscript, PostScript සහ PDF ආකෘතිවල ලේඛන සැකසීම, පරිවර්තනය කිරීම සහ උත්පාදනය කිරීම සඳහා මෙවලම් සමූහයක්, විශේෂයෙන් ආකෘතිගත ගොනුවක් සැකසීමේදී අත්තනෝමතික කේත ක්රියාත්මක කිරීමට ඉඩ සලසන තීරණාත්මක අවදානමක් (CVE-2021-3781) ඇත. මුලදී, ගැටලුව එමිල් ලර්නර්ගේ අවධානයට යොමු කරන ලදී, අගෝස්තු 25 වන දින ශාන්ත පීටර්ස්බර්ග් හි පැවති ZeroNights X සම්මන්ත්රණයේදී අවදානම ගැන කතා කළ (වාර්තාව විස්තර කළේ Emil, දෝෂ ත්යාග වැඩසටහනේ කොටසක් ලෙස, අවදානම භාවිතා කළ ආකාරයයි. AirBNB, Dropbox සහ Yandex.Real Estate සේවාවන් වෙත ප්රහාර නිරූපණය කිරීම සඳහා ප්රසාද දීමනා ලබා ගන්න.
සැප්තැම්බර් 5 වන දින, php-imagemagick පැකේජය භාවිතයෙන් සේවාදායකයේ ධාවනය වන වෙබ් ස්ක්රිප්ට් එකකට රූපයක් ලෙස පටවන ලද විෙශේෂෙයන් නිර්මාණය කරන ලද ලේඛනයක් සම්ප්රේෂණය කිරීමෙන් Ubuntu 20.04 ධාවනය වන පද්ධතිවලට පහර දීමට ඔබට ඉඩ සලසන වැඩ සූරාකෑමක් පොදු වසමෙහි දර්ශනය විය. එපමණක් නොව, මූලික දත්ත වලට අනුව, මාර්තු මාසයේ සිට සමාන සූරාකෑමක් භාවිතා කර ඇත. GhostScript 9.50 ධාවනය වන පද්ධති වලට පහර දිය හැකි බව ප්රකාශ කරන ලදී, නමුත් Git වෙතින් සංවර්ධනය වෙමින් පවතින 9.55 නිකුතුව ඇතුළුව GhostScript හි සියලුම පසු අනුවාද වල අවදානම පවතින බව පෙනී ගියේය.
නිවැරදි කිරීම සැප්තැම්බර් 8 වන දින යෝජනා කරන ලද අතර, සම-සමාලෝචනයෙන් පසුව, සැප්තැම්බර් 9 වන දින GhostScript ගබඩාවට පිළිගැනිණි. බොහෝ බෙදාහැරීම් වලදී, ගැටළුව විසඳී නොමැත (යාවත්කාලීන කිරීම් ප්රකාශනයේ තත්ත්වය Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD පිටු මත නැරඹිය හැක). අවධානම සඳහා විසඳුමක් සහිත GhostScript නිකුතුවක් මාසය අවසන් වීමට පෙර ප්රකාශයට පත් කිරීමට සැලසුම් කර ඇත.
අත්තනෝමතික කවච විධාන ක්රියාත්මක කිරීමට ඉඩ සලසන Postscript උපාංගයේ "%pipe%" හි පරාමිතීන් ප්රමාණවත් ලෙස පරීක්ෂා නොකිරීම හේතුවෙන් "-dSAFER" හුදකලා මාදිලිය මඟ හැරීමේ හැකියාව නිසා ගැටළුව ඇතිවේ. උදාහරණයක් ලෙස, ලේඛනයක id උපයෝගීතාව දියත් කිරීමට, “(%pipe%/tmp/&id)(w)file” හෝ “(%pipe%/tmp/;id)(r)file” යන පේළිය සඳහන් කරන්න.
මෙම පැකේජය බොහෝ ජනප්රිය යෙදුම්වල PostScript සහ PDF ආකෘති සැකසීම සඳහා භාවිතා කරන බැවින් Ghostscript හි ඇති දුර්වලතා වැඩි අවදානමක් ඇති කරන බව අපි ඔබට මතක් කරමු. උදාහරණයක් ලෙස, ඩෙස්ක්ටොප් සිඟිති රූ නිර්මාණය, පසුබිම් දත්ත සුචිගත කිරීම සහ රූප පරිවර්තනය අතරතුර Ghostscript කැඳවනු ලැබේ. සාර්ථක ප්රහාරයක් සඳහා, බොහෝ අවස්ථාවන්හීදී, සූරාකෑම සමඟ ගොනුව බාගත කිරීම හෝ ලේඛන සිඟිති රූ පෙන්වීමට සහාය වන ගොනු කළමනාකරුවෙකු තුළ එය සමඟ නාමාවලිය බැලීම ප්රමාණවත් වේ, උදාහරණයක් ලෙස, Nautilus හි.
Ghostscript හි ඇති දුර්වලතා ImageMagick සහ GraphicsMagick පැකේජ මත පදනම් වූ රූප සකසනයන් හරහා ඔවුන්ට රූපයක් වෙනුවට PostScript කේතය අඩංගු JPEG හෝ PNG ගොනුවක් යැවීමෙන් භාවිතා කළ හැක (එවැනි ගොනුවක් Ghostscript හි සකසනු ලැබේ, මන්ද MIME වර්ගය හඳුනාගෙන ඇත. අන්තර්ගතය, සහ දිගුව මත රඳා නොසිට).
මූලාශ්රය: opennet.ru