Представлен (https://www.ghostscript.com/doc/9.26/News.htm) релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF - Ghostscript 9.26 (https://www.ghostscript.com/), в котором устранено несколько уязвимостей, которые позволяют организовать выполнение в системе произвольного кода при обработке в Ghostscript специально оформленных документов.- CVE-2018-17961 (https://security-tracker.debian.org/tracker/CVE-2018-17961) - уязвимость (https://bugs.chromium.org/p/project-zero/issues/detail?id=16...) вызвана неполным устранением ранее найденной уязвимости CVE-2018-17183 и позволяет через создание обработчика исключения организовать выполнение кода вне sandbox-окружения.
- CVE-2018-18073 (https://security-tracker.debian.org/tracker/CVE-2018-18073) - уязвимость (https://bugs.chromium.org/p/project-zero/issues/detail?id=1690) позволяет организовать выполнение оператора ".forceput" через манипуляции с переданным в обработчик исключения доступом к исполняемому стеку.
- CVE-2018-18284 (https://security-tracker.debian.org/tracker/CVE-2018-18284) - узявимость (https://bugs.chromium.org/p/project-zero/issues/detail?id=1696) позволяет обойти механизм sandbox-изоляции через манипуляцию с векторами с использованием оператора 1Policy;
- Уязвимость (https://security-tracker.debian.org/tracker/TEMP-0291452-29156B), связанная с небезопасным созданием временных файлов в каталоге /tmp (CVE пока не присвоен).
Напомним, что уязвимости в Ghostscript представляют повышенную опасность, так как данный пакет используется во многих популярных приложениях для обработки форматов PostScript и PDF. Например, Ghostscript вызывается в процессе создания миниатюр на рабочем столе, при фоновой индексации данных и при преобразовании изображений. Для успешной атаки во многих случаях достаточно просто загрузить файл с эксплоитом или просмотреть каталог с ним в Nautilus. Уязвимости в Ghostscript также можно эксплуатировать через обработчики изображений на базе пакетов ImageMagick и GraphicsMagick, передав в них JPEG или PNG-файл, в котором вместо картинки находится код PostScript (такой файл будет обработан в Ghostscript, так как MIME-тип распознаётся по содержимому, а не полагаясь на расширение).
URL: https://www.ghostscript.com/doc/9.26/News.htm
Новость: https://www.opennet.me/opennews/art.shtml?num=49647
Да сам удивился, когда в Debian/stable начали новые версии выкладывать... Пару недель 9.25 прилетело, вон теперь этого бум ждать )))
О, и я обратил на это внимание.
Давно удалил, потому что шерето. Привязка бинарного софта к нему несколько огорчает -- приходится от того отказываться.
Откажись от компьютера вообще, ибо он есть совокупность шерет, крадущая время твоё и краснеющая глаза твои. Будь как Столлман, и не пользуйся мобилой - ибо и оно есть шерето. И главное не делай ничего, ибо деяние твоё есть шерето, шеретом порождённое и шерето порождающее.
А был же раньше коммерческий вариант, который Aladdin Ghostscript. Там, наверное, таких косяков не допускают. Может им заменить?
Так он никуда не девался. У Artifex можно и коммерческий вариант взять.
https://www.ghostscript.com/license.html (внизу страницы).
обмани кондуктора - купи билет и сиди дома.
> обмани кондуктора - купи билет и сиди дома.Не, ну если человеку хочется :)
они оба - aladdin ghostscript. Коммерческая версия отличалась наличием закрытых принтерных драйверов, под какие-то давным-давно рассыпавшиеся из-за отсутствия запчастей древние не-ps-не-hp-принтеры, и когда у последнего полетел ролик - исходники оставшегося кода смержили в общую кучу - уже сильно поболее десятка лет назад, а контора обанкротилась.Остатки купила та странная лавочка, которой посейчас и принадлежит ghostscript.com, но, по-моему, ничем кроме бесконечного меняния лицензии она не отличилась, полагаю, разработчиков там и не держали никогда - наоборот, их бизнес-идеей является предоставление тебе за денежки права НЕ открывать исходники _твоих_ изменений - если они у тебя есть ;-) А для этого нужны не кодеры, а адвокаты.
> полагаю, разработчиков там и не держали никогдаНу разработчики там, вроде есть, mupdf (https://www.mupdf.com/) довольно бодренько пилят (git http://git.ghostscript.com/?p=mupdf.git;a=shortlog). Довольно прикольная либа ИМХО.
Нужно просто волевым решением убрать это из всех ведущих дистров. Отказаться, как от IE 6 в свое время.
если б вы волевым усилием в свое время отказались от интернета вместе с ie6 - непременно пришли бы к успеху.А поддержка ps и pdf - это уже мелко, это каждый может.
> Например, Ghostscript вызывается в процессе создания миниатюр на рабочем столе, при фоновой индексации данных и при преобразовании изображений. Для успешной атаки во многих случаях достаточно просто загрузить файл с эксплоитом или просмотреть каталог с ним в Nautilus.Всегда после установки любой ОС первым делом отключал показ миниатюр в файловом менеджере, возможность размещать что бы то ни было кроме окон на рабочем столе и индексацию данных ибо не нужно и только лишняя нагрузка на комп. Похоже не зря.
> Всегда после установки любой ОС первым делом отключал показ миниатюр в файловом менеджереПриводило ли это к тому, что файловый менеджер прекращал создавать эти миниатюры? Или только показ их отключался?
>> Всегда после установки любой ОС первым делом отключал показ миниатюр в файловом менеджере
> Приводило ли это к тому, что файловый менеджер прекращал создавать эти миниатюры?
> Или только показ их отключался?Приводило - прекращал. Хотя конечно не исключено, что могут быть файловые менеджеры, которые не прекращают.
Всегда создаю путой файл с аттрибутом "только чтение":$ rm -rf ~/.config/thumbnails && touch ~/.config/thumbnails && chmod 400 ~/.config/thumbnails