Ghostscript, qalabyada habaynta, beddelka iyo soo saarista dukumeentiyada ku jira PostScript iyo qaababka PDF, waxay leedahay baylahda halista ah (CVE-2021-3781) taas oo u oggolaanaysa fulinta kood gaar ah marka la farsameynayo faylka gaarka ah. Markii hore, dhibaatada waxaa loo soo jeediyay Emil Lerner, oo ka hadlay dayacanka Agoosto 25 ee shirkii ZeroNights X ee lagu qabtay St. hel gunno muujinta weerarrada adeegyada AirBNB, Dropbox iyo Yandex.Real Estate).
Bishii Sebtembar 5, ka faa'iidaysi shaqo ayaa ka soo muuqday qaybta dadweynaha kaas oo kuu ogolaanaya inaad weerarto nidaamyada ku shaqeeya Ubuntu 20.04 adigoo u gudbinaya dukumeenti si gaar ah loo qaabeeyey oo sawir ahaan loo soo raray qoraal shabakadeed oo ku shaqeeya serverka iyadoo la adeegsanayo xirmada php-imagemagick. Intaa waxaa dheer, marka loo eego xogta hordhaca ah, ka faa'iidaysi la mid ah ayaa la isticmaalayey tan iyo bishii Maarso. Waxaa la sheegay in nidaamyada ku shaqeeya GhostScript 9.50 la weerari karo, laakiin waxaa soo baxday in baylahdu ay ku jirto dhammaan noocyada xiga ee GhostScript, oo ay ku jiraan horumarinta 9.55 ee laga sii daayo Git.
Hagaajinta waxaa la soo jeediyay Sebtembar 8-deedii iyo, dib u eegis faceed ka dib, waxaa la aqbalay kaydka GhostScript ee Sebtembar 9-keedii. Qaybin badan, dhibaatadu waa mid aan la hagaajin (xaaladda daabacaadda cusbooneysiinta waxaa laga eegi karaa bogagga Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD). Siidaynta GhostScript oo leh hagaajinta baylahda ayaa la qorsheeyay in la daabaco ka hor dhamaadka bisha.
Dhibaatada waxaa keenay suurtagalnimada in laga gudbo habka go'doominta "-dSAFER" sababtoo ah hubinta ku filnaansho la'aanta aaladda Postscript "% pipe%", taas oo oggolaatay fulinta amarrada qolofka. Tusaale ahaan, si aad u bilawdo utility id ee dukumeenti, kaliya sheeg xariiqda "(% pipe%/tmp/&id)(w)file"ama"(%pipe%/tmp/;id)(r)file".
Aan ku xasuusino in dayacanka Ghostscript uu keenayo khatar kordhaysa, maadaama xirmadan loo isticmaalo codsiyo badan oo caan ah oo loogu talagalay qaabaynta PostScript iyo PDF. Tusaale ahaan, Ghostscript waxaa loo yaqaan inta lagu guda jiro abuurista thumbnail desktop, tusmaynta xogta asalka, iyo beddelka sawirka. Weerar guul leh, xaalado badan ayaa ku filan inaad si fudud u soo dejiso faylka adoo isticmaalaya ka faa'iidaysiga ama aad ku aragto tusaha iyada oo ku jirta maareeyaha faylka taageera muujinta sawirada thumbnails, tusaale ahaan, Nautilus.
Nuglaanta ku jirta Ghostscript sidoo kale waxaa looga faa'iidaysan karaa soo-saareyaasha sawirka iyadoo lagu saleynayo xirmooyinka ImageMagick iyo GraphicsMagick iyadoo loo gudbinayo faylka JPEG ama PNG oo ka kooban koodka PostScript halkii sawirka nuxurka, oo aan ku tiirsanayn kordhinta).
Source: opennet.ru