BDU:2019-03227
Canonical Ltd., Red Hat Inc., АО «ИВК», АО «Концерн ВНИИНС», Сообщество свободного программного обес Astra Linux Special Edition для «Эльбрус», Red Hat Enterprise Linux, Ghostscript, Альт 8 СП, Astra L
2019-08-20
Уязвимость процедуры setsystemparams программы конвертирования файлов формата PostScript Ghostscript связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды или получить доступ к файловой системе в обход ограничений, наложенных –dSAFER, с помощью специально созданного файла PostScript
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Ghostscript:
http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=885444fcbe10dc42787ecb76686c8ee4dd33bf33
Для Ubuntu:
https://usn.ubuntu.com/4111-1/
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/09/msg00007.html
Для программных продуктов Red Hat Inc.:
https://bugzilla.redhat.com/show_bug.cgi?id=1743737
Для Astra Linux: Обновление программного обеспечения (пакета ghostscript) до 9.26a~dfsg-0+deb9u5 или более поздней версии
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»: Обновление программного обеспечения ghostscript до версии 9.26a~dfsg-0+deb9u9
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2682