В Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF, vaivai (), которая может привести к изменению файлов и запуску произвольных команд при открытии специально оформленных документов в формате PostScript. Использование в документе нестандартного PostScript-оператора позволяет вызвать переполнение типа uint32_t при вычислении размера, переписать области памяти вне выделенного буфера и получить доступ к файлам в ФС, что можно использовать для организации атаки для выполнения произвольного кода в системе (например, через добавление команд в ~/.bashrc или ~/.profile).
Проблема затрагивает с 9.50 по 9.52 (ошибка начиная с выпуска 9.28rc1, но, по выявивших уязвимость исследователей, проявляется с версии 9.50).
Исправление предложено в выпуске (). Обновления пакетов с исправлением уже выпущены для , , . Пакеты в проблемы не подвержены.
Manatua o faʻafitauli i le Ghostscript e faʻateleina ai le lamatiaga, talu ai o lenei afifi o loʻo faʻaaogaina i le tele o talosaga taʻutaʻua mo le gaosiga o PostScript ma PDF formats. Mo se faʻataʻitaʻiga, e valaʻau Ghostscript pe a fatuina ata o le desktop, pe a faʻasino faʻamaumauga i tua, ma pe a liliu ata. Mo se osofaʻiga manuia, i le tele o tulaga, naʻo le siiina o le faila faʻaoga poʻo le suʻesuʻeina o le lisi ma ia i Nautilus ua lava. Fa'aletonu i le Ghostscript e mafai fo'i ona fa'aogaina e ala i ata fa'apipi'i e fa'avae i luga o le ImageMagick ma le GraphicsMagick afifi e ala i le tu'uina atu ia i latou o se faila JPEG po'o le PNG o lo'o i ai le PostScript code nai lo se ata (o lea faila o le a fa'agasolo ile Ghostscript, talu ai o le ituaiga MIME e iloa e le le anotusi, ma e aunoa ma le faʻalagolago i le faʻaopoopoga).
puna: opennet.ru