Спустя две недели с момента прошлой критической проблемы в ещё 4 похожие уязвимости (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), которые позволяют через создание ссылки на «.forceput» обойти режим изоляции «-dSAFER». При обработке специально оформленных документов атакующий может получить доступ к содержимому ФС и добиться выполнения произвольного кода в системе (например, через добавление команд в ~/.bashrc или ~/.profile). Исправление доступно в виде патчей (, ). За появлением обновления пакетов в дистрибутивах можно проследить на данных страницах: , , , , , , , .
ఈ ప్యాకేజీ పోస్ట్స్క్రిప్ట్ మరియు PDF ఫార్మాట్లను ప్రాసెస్ చేయడానికి అనేక ప్రసిద్ధ అప్లికేషన్లలో ఉపయోగించబడుతుంది కాబట్టి, Ghostscriptలోని దుర్బలత్వాలు ప్రమాదాన్ని పెంచుతాయని మీకు గుర్తు చేద్దాం. ఉదాహరణకు, డెస్క్టాప్ థంబ్నెయిల్ క్రియేషన్, బ్యాక్గ్రౌండ్ డేటా ఇండెక్సింగ్ మరియు ఇమేజ్ కన్వర్షన్ సమయంలో ఘోస్ట్స్క్రిప్ట్ అంటారు. విజయవంతమైన దాడి కోసం, అనేక సందర్భాల్లో దోపిడీతో ఫైల్ను డౌన్లోడ్ చేయడం లేదా నాటిలస్లో దానితో డైరెక్టరీని బ్రౌజ్ చేయడం సరిపోతుంది. Ghostscriptలోని దుర్బలత్వాలను ఇమేజ్మ్యాజిక్ మరియు గ్రాఫిక్స్మ్యాజిక్ ప్యాకేజీల ఆధారంగా ఇమేజ్ ప్రాసెసర్ల ద్వారా ఉపయోగించుకోవచ్చు, వాటికి ఇమేజ్కి బదులుగా పోస్ట్స్క్రిప్ట్ కోడ్ ఉన్న JPEG లేదా PNG ఫైల్ను పంపడం ద్వారా (అటువంటి ఫైల్ Ghostscriptలో ప్రాసెస్ చేయబడుతుంది, ఎందుకంటే MIME రకం గుర్తించబడింది కంటెంట్, మరియు పొడిగింపుపై ఆధారపడకుండా).
మూలం: opennet.ru