Ghostscript, ṣeto awọn irinṣẹ fun sisẹ, iyipada ati ipilẹṣẹ awọn iwe aṣẹ ni PostScript ati awọn ọna kika PDF, ni ailagbara to ṣe pataki (CVE-2021-3781) ti o fun laaye ipaniyan koodu lainidii nigbati o ba n ṣatunṣe faili ti a ṣe ni pataki. Ni ibẹrẹ, iṣoro naa ni a mu wa si akiyesi Emil Lerner, ẹniti o sọ nipa ailagbara ni Oṣu Kẹjọ Ọjọ 25 ni apejọ ZeroNights X ti o waye ni St. gba awọn ẹbun fun iṣafihan awọn ikọlu lori awọn iṣẹ AirBNB, Dropbox ati Yandex.Real Estate).
Ni Oṣu Kẹsan ọjọ 5, ilokulo ti n ṣiṣẹ han ni agbegbe ti gbogbo eniyan ti o fun ọ laaye lati kọlu awọn eto ti n ṣiṣẹ Ubuntu 20.04 nipa gbigbe iwe aṣẹ apẹrẹ pataki kan ti a kojọpọ bi aworan si iwe afọwọkọ wẹẹbu kan ti n ṣiṣẹ lori olupin nipa lilo package php-imagemagick. Pẹlupẹlu, ni ibamu si data alakoko, ilokulo iru kan ti wa ni lilo lati Oṣu Kẹta. O ti sọ pe awọn eto ti n ṣiṣẹ GhostScript 9.50 le kọlu, ṣugbọn o wa ni jade pe ailagbara naa wa ni gbogbo awọn ẹya ti o tẹle ti GhostScript, pẹlu itusilẹ idagbasoke 9.55 lati Git.
A dabaa atunṣe naa ni Oṣu Kẹsan ọjọ 8th ati, lẹhin atunyẹwo ẹlẹgbẹ, gba sinu ibi ipamọ GhostScript ni Oṣu Kẹsan ọjọ 9th. Ni ọpọlọpọ awọn ipinpinpin, iṣoro naa wa ni aibikita (ipo ti ikede ti awọn imudojuiwọn ni a le wo lori awọn oju-iwe ti Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD). Itusilẹ GhostScript pẹlu atunṣe fun ailagbara ni a gbero lati ṣe atẹjade ṣaaju opin oṣu naa.
Iṣoro naa jẹ ṣẹlẹ nipasẹ iṣeeṣe ti yiyọ kuro ni ipo ipinya “-dSAFER” nitori aibojuto ti awọn aye ti ẹrọ Postscript “% paipu%”, eyiti o gba laaye ipaniyan ti awọn aṣẹ ikarahun lainidii. Fun apẹẹrẹ, lati ṣe ifilọlẹ IwUlO id ni iwe kan, kan pato laini “(% pipe%/tmp/&id)(w)faili” tabi “(% pipe%/tmp/; id)(r)faili”.
Jẹ ki a leti pe awọn ailagbara ni Ghostscript jẹ eewu ti o pọ si, niwọn bi a ti lo package yii ni ọpọlọpọ awọn ohun elo olokiki fun sisẹ PostScript ati awọn ọna kika PDF. Fun apẹẹrẹ, Ghostscript ni a pe lakoko ṣiṣẹda eekanna atanpako tabili, titọka data abẹlẹ, ati iyipada aworan. Fun ikọlu aṣeyọri, ni ọpọlọpọ awọn ọran o to lati ṣe igbasilẹ faili ni irọrun pẹlu ilokulo tabi wo itọsọna pẹlu rẹ ni oluṣakoso faili ti o ṣe atilẹyin iṣafihan awọn eekanna atanpako iwe, fun apẹẹrẹ, ni Nautilus.
Awọn ailagbara ni Ghostscript tun le jẹ ilokulo nipasẹ awọn olutọsọna aworan ti o da lori awọn idii ImageMagick ati GraphicsMagick nipa gbigbe wọn JPEG tabi faili PNG ti o ni koodu PostScript dipo aworan kan (iru faili kan yoo ṣiṣẹ ni Ghostscript, nitori iru MIME jẹ idanimọ nipasẹ akoonu, ati laisi gbigbekele itẹsiwaju).
orisun: opennet.ru