forum.opennet.ru

"Уязвимость в Ghostscript, эксплуатируемая через ImageMagick"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

"Уязвимость в Ghostscript, эксплуатируемая через ImageMagick"	+/–
Сообщение от opennews (??), 10-Сен-21, 22:11
В Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF, выявлена критическая уязвимость (CVE-2021-3781), позволяющая выполнить произвольный код при обработке специально оформленного файла. Изначально на наличие проблемы обратил внимание Эмиль Лернер, который рассказал об уязвимости 25 августа на прошедшей в Санкт-Петербурге конференции ZeroNights X (в докладе было рассказано, как Эмиль в рамках программ bug bounty использовал уязвимость для получения премий за демонстрацию атак на сервисы AirBNB, Dropbox и Яндекс.Недвижимость)... Подробнее: https://www.opennet.me/opennews/art.shtml?num=55780
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость в Ghostscript, эксплуатируемая через ImageMagick, opennews, 10-Сен-21, 22:11 [смотреть все]

Делать текстовые документы Тьюринг-полными изначально было ошибкой , Аноним, 10-Сен-21, 22:11 (1) //
- Ну, не знаю Мне кажется, что ошибкой было и есть считать Postscript и PDF _те, Аноним, 10-Сен-21, 22:51 (7) //
  - А ты хорош , РобинГуд, 11-Сен-21, 04:03 (13)
Я старательно и методично удаляю ghostscript отовсюду , Аноним, 10-Сен-21, 22:24 (2) //
- Все бы хорошо, но от него зависит CUPS , Kuromi, 10-Сен-21, 22:41 (4) //
  - Что-то вроде этого, если cups не используется code bin shcat tmp noop c , Аноним, 10-Сен-21, 22:55 (8)
  - вернее cups-filters, макпыф, 11-Сен-21, 15:17 (24)
- тогда нужно было писать так Я старательно и методично удаляю отовсюду , Админ Анонимов, 11-Сен-21, 08:35 (15)
- fix Я старательно и методично удаляю xxx отовсюду , Админ Анонимов, 11-Сен-21, 08:37 (16) //
  - Не, тогда уж лучше, CUPS удалю, а XXX пусть останется Его и на экране смотреть , Аноним, 13-Сен-21, 20:56 (52)
Сезон дыр в Ghostscript снова открыт В прошлый раз уязвимости находили каждую н, Kuromi, 10-Сен-21, 22:33 (3) //
- Осень , Аноним, 11-Сен-21, 11:04 (20)
Этот GhostScript - дырявое говно Нужно окончательное решение GhostScriptного во, Аноним, 10-Сен-21, 22:46 (5) //
- Rust Go , B, 10-Сен-21, 23:23 (11) //
  - игогошечка не сможет волшебным образом санировать строчку pipe , и опять все бу, пох., 11-Сен-21, 09:09 (17)
  - Оба, Аноним, 12-Сен-21, 14:16 (45)
Лично я отгородился от этой штуки через редактирование etc ImageMagick-6 policy, Аноним, 10-Сен-21, 22:47 (6) //
- Выколол себе глаза, чтоб не видеть греха Уважаю , Отец Инквизитор, 10-Сен-21, 23:03 (9) //
  - Давно так не смеялся, спасибо, Инквизитор , Аноним, 13-Сен-21, 06:49 (51)
Почему бы им не перейти уже на libvips im gm в разы медленнее и жрут больше пам, Аноним, 11-Сен-21, 11:03 (19) //
- там же ImageMagick в зависимостях, Sw00p aka Jerom, 11-Сен-21, 12:48 (21) //
  - Ну так и говорю, сменить на libvips , Аноним, 11-Сен-21, 18:03 (28)
  - он optional - только для чтения форматов, не поддерживаемых самой vipsтам в обще, Аноним, 11-Сен-21, 23:04 (30) //
    - так и есть, просто в тех же портах в бсд он списке Requiresvips-8 11 3Free image, Sw00p aka Jerom, 11-Сен-21, 23:45 (31)
      - ну ты просто не застал времен, когда там и imagick скачивал для сборки себя весь, пох., 12-Сен-21, 00:12 (33)
        
        Archive org содержит море сканов достойнейших книжек, качественные сканы там в J, timur.davletshin, 12-Сен-21, 07:43 (39)
        
        ну оригинально выпендрились, чо Интересно, где они нашли этот сканер, производс, пох., 12-Сен-21, 09:04 (41)
        
        Не 171 выпендрились 187 и не 171 извращенцы 187 , а стандартный формат I, Anonymoustus, 12-Сен-21, 10:43 (42)
        
        Ну то есть белки-истерички как есть Борцуны со всем собственническим во славу н, пох., 12-Сен-21, 20:39 (46)
        
        Об их мотивах я не осведомлён Что касается шва6оды, не обойтись без бутылки и за, Anonymoustus, 12-Сен-21, 22:08 (49)
        
        Никто не мешает тебе и TIFF скачать в индивидуальных файлах, только в JPEG2000 з, timur.davletshin, 12-Сен-21, 11:54 (43)
        
        вопрос в том, откуда у них вообще взялись такие уродливые оригиналы и зачем бы, пох., 12-Сен-21, 20:41 (47)
        
        Я не знаю, откуда столько пафоса, ты просто явно не пользовался им Оригинальное, timur.davletshin, 12-Сен-21, 21:09 (48)
        Ну так взять и спросить, если в самом деле интересно Если исторически уже есть, Tifereth, 14-Сен-21, 10:31 (54)
        
        Ну какая туча всего Один весьма странный коллектив, слегка ушибленный открыт, пох., 14-Сен-21, 11:35 (55)
        
        в те самые времена я из тарболов устанавливал, и плевался на порты, а щас ставлю, Sw00p aka Jerom, 12-Сен-21, 14:12 (44)
Ghostscript - это драйвер принтеров, в том числе свободная реализация языка Post, Аноним, 11-Сен-21, 16:46 (25) //
- Баги сажают, вы хотели сказать Этой проблемы нет в версиях до 9 50, когда что-т, Аноним, 11-Сен-21, 19:36 (29)
Кстати Эмиль молодец, сначала обнес компании на премии за уязвимости, а потом уж, Kuromi, 11-Сен-21, 17:11 (26) //
- да он вообще нормальный пацан, судя названиям проектов на гитхабеhttps github , OpenEcho, 11-Сен-21, 17:41 (27) //
  - ну-ну , Аноним, 12-Сен-21, 23:35 (50)
Никогда такого не было , sailorCat, 11-Сен-21, 23:59 (32)
Я правильно понимаю, что т е если кто-то загрузит на нэкстклауд вредоносный фай, Аноним, 12-Сен-21, 08:44 (40)
В Gentoo imagemagick уже с предложенными защитами поставляется их как с прошлог, Аноним, 13-Сен-21, 23:48 (53) //
- в смысле со сломанной обработкой половины графических форматов Вам к отцу инкви, пох., 14-Сен-21, 11:37 (56)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру