BDU:2019-03226
Canonical Ltd., Red Hat Inc., АО «ИВК», АО «Концерн ВНИИНС», Сообщество свободного программного обес Red Hat Enterprise Linux, Ghostscript, Альт 8 СП, Astra Linux Special Edition, ОС ОН «Стрелец», Ubun
2019-08-20
Уязвимость процедуры .setuserparams2 программы конвертирования файлов формата PostScript Ghostscript связана с неправильным использованием привилегированных API. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды или получить доступ к файловой системе в обход ограничений, наложенных –dSAFER, с помощью специально созданного файла PostScript
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций:
Для Ghostscript: http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=885444fcbe10dc42787ecb76686c8ee4dd33bf33
Для Ubuntu:
https://usn.ubuntu.com/4111-1/
Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4518.ru.html
Для программных продуктов Red Hat Inc.:
https://bugzilla.redhat.com/show_bug.cgi?id=1743754
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»: Обновление программного обеспечения ghostscript до версии 9.26a~dfsg-0+deb9u9
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux 1.6 «Смоленск»: обновить пакет ghostscript до 9.26a~dfsg-0+deb9u5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=61571683