Сообщение
[Ботя] » 31 авг 2019, 13:30
Спустя две недели с момента обнаружения прошлой критической проблемы в Ghostscript выявлено ещё 4 похожие уязвимости (CVE-2019-14811 - CVE-2019-14814), которые позволяет при обработке специально оформленных документов через создание ссылки на ".forceput" обойти режим изоляции "-dSAFER". При успешной эксплуатации уязвимости можно получить доступ к содержимому ФС и добиться выполнения произвольного кода в системе (например, через добавление команд в ~/.bashrc или ~/.profile). Исправление доступно в виде патчей (1, 2). За появлением обновления пакетов в дистрибутивах можно проследить на данных страницах: Debian, Fedora, Ubuntu, SUSE/openSUSE, RHEL, Arch, FreeBSD.
Подробнее...
Очередные 4 уязвимости в Ghostscript