Wiki mbili baada ya suala muhimu lililopita katika Athari 4 zaidi zinazofanana (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), ambayo inaruhusu kwa kuunda kiungo cha ".forceput" ili kukwepa hali ya kutengwa ya "-dSAFER" . Wakati wa kuchakata hati zilizoundwa mahususi, mshambulizi anaweza kupata ufikiaji wa yaliyomo kwenye mfumo wa faili na kutekeleza msimbo kiholela kwenye mfumo (kwa mfano, kwa kuongeza amri kwa ~/.bashrc au ~/.profile). Marekebisho yanapatikana kama viraka (, ) Unaweza kufuatilia upatikanaji wa masasisho ya kifurushi katika usambazaji kwenye kurasa hizi: , , , , , , , .
Kumbuka kwamba udhaifu katika Ghostscript unaleta hatari kubwa, kwa kuwa kifurushi hiki kinatumika katika programu nyingi maarufu za kuchakata miundo ya PostScript na PDF. Kwa mfano, Ghostscript inaitwa wakati wa kuunda vijipicha vya eneo-kazi, wakati wa kuorodhesha data chinichini, na wakati wa kubadilisha picha. Kwa shambulio lililofanikiwa, katika hali nyingi, kupakua tu faili ya unyonyaji au kuvinjari saraka nayo katika Nautilus inatosha. Athari katika Ghostscript pia inaweza kutumika kupitia vichakataji picha kulingana na vifurushi vya ImageMagick na GraphicsMagick kwa kuzipitishia faili ya JPEG au PNG ambayo ina msimbo wa PostScript badala ya picha (faili kama hilo litachakatwa katika Ghostscript, kwa kuwa aina ya MIME inatambuliwa na yaliyomo, na bila kutegemea ugani).
Chanzo: opennet.ru