Ha hụrụ ọghọm dị na Ghostscript nke emere site na ImageMagick

Na nso nso a, ozi gbasara nke ahụ chọpụtara ọghọm dị oke egwu (nke edepụtaralarị dị ka CVE-2021-3781) na Ghostscript (ngwa ọrụ maka nhazi, ịtụgharị na iwepụta akwụkwọ na PostScript na ụdị PDF) nke ahụ na -enye ohere ịme koodu aka ike mgbe ị na -ahazi faịlụ ahaziri iche.

Na mbido, Emil Lerner rụtụrụ aka na enwere nsogbu na onye bụkwa onye kwuru maka adịghị ike na August 25ma ọ bụ na nnọkọ ikpeazụ Saint Petersburg ZeroNights X (N'akụkọ ahụ, o gosipụtara ka Emile n'ime mmemme ngọngọ ahụhụ si eji adịghị ike ahụ nweta ụgwọ ọrụ maka mwakpo ngosi na AirBNB, Dropbox na Yandex.Realty ọrụ).

Na Septemba 5, arụrụ arụ pụtara ngalaba ọha nke na-enye ohere ịwakpo sistemụ Ubuntu 20.04 site na ịnyefe edemede weebụ nke na-arụ na sava ahụ site na iji ngwugwu php-imagemagick, akwụkwọ edepụtara n'ụzọ pụrụ iche nke eburu n'okpuru ihe onyonyo.

Anyị nwere azịza n'ule ugbu a.

Ebe o doro anya na nrigbu a na -ekesa kemgbe ọnwa Maachị ma bụrụ nke ọhaneze kemgbe opekata mpe Ọgọst 25 (nke ukwuu maka ngosipụta dị mkpa!), Enwere m mmasị ibipụta ndozi ahụ n'ihu ọha ozugbo anyị mechara nyocha na nyocha.

Agbanyeghị na n'aka nke ọzọ, a na -ekwukwa na dịka data mbido siri dị, ejirila ụdị nrigbu a eme ihe kemgbe ọnwa Maachị e kwuputala ya nwere ike wakpo sistemụ na -agba GhostScript 9.50, mana ekpughere na adịghị ike ahụ gara n'ihu na ụdị GhostScript niile, gụnyere ụdị mmepe Git 9.55.

E mechara tụọ mmezi na Septemba 8 na mgbe nyocha ndị ọgbọ, a nabatara ya na nchekwa nchekwa GhostScript na Septemba 9th.

Dịka m kwuru na mbụ, ebe ọ bụ na nrigbu ahụ “nọ n'ọhịa” opekata mpe ọnwa isii, etinyela m akwụkwọ mmado na ebe nchekwa ọha anyị; izochi ihe mgbochi na ọnọdụ a yiri ihe na -abaghị uru.

Aga m eme ka ọha mara n'ihu ọha tupu emechie azụmahịa (UK) na Fraịde, ọzọ, belụsọ na enweghị arụmụka siri ike na -enweghị isi (ị ka nwere ike jikọta ya, ime ka ọhaneze ghara ịgbanwe URL).

Nsogbu a bụ n'ihi ike ịgafe ọnọdụ kewapụrụ iche "-dSAFER" n'ihi ezughi oke nke ngwa PostScript "% pipe%", nke kwere ka e gbuo iwu shei aka ike.

Dịka ọmụmaatụ, iji rụọ ọrụ njirimara na dọkụmentị, naanị ị ga -ezipụta eriri "(% pipe% / tmp / & id) (w) faịlụ" ma ọ bụ "(% pipe% / tmp /; id) (r) faịlụ ».

Dị ka ihe ncheta, adịghị ike ndị dị na Ghostscript dị oke njọ, ebe ọ bụ na ejiri ngwugwu a n'ọtụtụ ngwa ewu ewu maka ịhazi PostScript na ụdị PDF. Dịka ọmụmaatụ, a na -akpọ Ghostscript mgbe ị na -eke thumbnails na desktọpụ, mgbe ị na -edepụta data n'azụ, yana mgbe ị na -atụgharị ihe oyiyi. Maka mwakpo na -aga nke ọma, n'ọtụtụ ọnọdụ, ọ zuru ezu ibudata faịlụ nrigbu ma ọ bụ jiri ya chọgharịa akwụkwọ ndekọ aha ya na onye njikwa faili na -akwado ngosipụta mkpado mkpịsị aka, dịka ọmụmaatụ na Nautilus.

Vulnerabilities na Ghostscript nwekwara ike erigbu ya site na ndị na -ahụ maka onyonyo dabere na nchịkọta ImageMagick na GraphicsMagick, na -agafe faịlụ JPEG ma ọ bụ PNG, nke nwere koodu PostScript kama onyonyo (a ga -ahazi faịlụ a na Ghostscript, ebe ụdị ọdịnaya MIME na -amata ya, na -enweghị dabere na ndọtị).

Dị ka ebe nchekwa iji chebe megide irigbu adịghị ike site na ihe nrụpụta mkpịsị aka na akpaghị aka na GNOME na ImageMagick, a na-atụ aro ka ị gbanyụọ oku evince-thumbnailer na /usr/share/thumbnailers/evince.thumbnailer ma gbanyụọ ntụgharị PS, EPS, PDF na usoro XPS na ImageMagick,

Finalmente Ekwuru na n'ọtụtụ nkesa, edozighị nsogbu ahụ (enwere ike ịhụ ọkwa ntọhapụ mmelite na ibe nke Debian, Ubuntu, Fedora, EBU, RHEL, Arch Linux, FreeBSD, NetBSD).

A na -ekwukwa na mwepụta nke GhostScript na mkpochapụ nke adịghị ike ka akwadoro ka ebipụta tupu ngwụcha ọnwa. Ọ bụrụ na ịchọrọ ịmatakwu banyere ya, ị nwere ike lelee nkọwa dị na esonụ njikọ.


Ọdịnaya nke isiokwu agbaso ụkpụrụ anyị nke ụkpụrụ nduzi. Kpesa mmejọ pịa ebe a.

Bụrụ onye mbụ ịza ajụjụ

Hapu okwu gi

Adreesị email gị agaghị bipụtara. Chọrọ ubi na-akara na *

*

*

  1. Rụ ọrụ maka data: Miguel Ángel Gatón
  2. Nzube nke data: Nchịkwa SPAM, njikwa okwu.
  3. Ikike: Nkwenye gị
  4. Nkwurịta okwu nke data: Agaghị agwa ndị ọzọ data ahụ ma ọ bụghị site na iwu.
  5. Nchekwa data: Ebe nchekwa data nke Occentus Networks (EU) kwadoro
  6. Ikike: Oge obula inwere ike igbachi, weghachite ma hichapụ ihe omuma gi.