రెండు వారాల తర్వాత గత క్లిష్టమైన సమస్య మరో 4 ఇలాంటి దుర్బలత్వాలు (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), ఇవి “-dSAFER” మోడ్ను దాటవేయడానికి “.forceput”కి లింక్ని సృష్టించడం ద్వారా అనుమతిస్తాయి. . ప్రత్యేకంగా రూపొందించిన పత్రాలను ప్రాసెస్ చేస్తున్నప్పుడు, దాడి చేసే వ్యక్తి ఫైల్ సిస్టమ్ యొక్క కంటెంట్లకు ప్రాప్యతను పొందవచ్చు మరియు సిస్టమ్లో ఏకపక్ష కోడ్ను అమలు చేయగలడు (ఉదాహరణకు, ~/.bashrc లేదా ~/.profileకి ఆదేశాలను జోడించడం ద్వారా). పరిష్కారం పాచెస్గా అందుబాటులో ఉంది (, ) మీరు ఈ పేజీలలోని పంపిణీలలో ప్యాకేజీ నవీకరణల లభ్యతను ట్రాక్ చేయవచ్చు: , , , , , , , .
ఈ ప్యాకేజీ పోస్ట్స్క్రిప్ట్ మరియు PDF ఫార్మాట్లను ప్రాసెస్ చేయడానికి అనేక ప్రసిద్ధ అప్లికేషన్లలో ఉపయోగించబడుతుంది కాబట్టి, Ghostscriptలోని దుర్బలత్వాలు ప్రమాదాన్ని పెంచుతాయని మీకు గుర్తు చేద్దాం. ఉదాహరణకు, డెస్క్టాప్ థంబ్నెయిల్ క్రియేషన్, బ్యాక్గ్రౌండ్ డేటా ఇండెక్సింగ్ మరియు ఇమేజ్ కన్వర్షన్ సమయంలో ఘోస్ట్స్క్రిప్ట్ అంటారు. విజయవంతమైన దాడి కోసం, అనేక సందర్భాల్లో దోపిడీతో ఫైల్ను డౌన్లోడ్ చేయడం లేదా నాటిలస్లో దానితో డైరెక్టరీని బ్రౌజ్ చేయడం సరిపోతుంది. Ghostscriptలోని దుర్బలత్వాలను ఇమేజ్మ్యాజిక్ మరియు గ్రాఫిక్స్మ్యాజిక్ ప్యాకేజీల ఆధారంగా ఇమేజ్ ప్రాసెసర్ల ద్వారా ఉపయోగించుకోవచ్చు, వాటికి ఇమేజ్కి బదులుగా పోస్ట్స్క్రిప్ట్ కోడ్ ఉన్న JPEG లేదా PNG ఫైల్ను పంపడం ద్వారా (అటువంటి ఫైల్ Ghostscriptలో ప్రాసెస్ చేయబడుతుంది, ఎందుకంటే MIME రకం గుర్తించబడింది కంటెంట్, మరియు పొడిగింపుపై ఆధారపడకుండా).
మూలం: opennet.ru