Waxay ka heleen nuglaansho Ghostscript oo laga faa'iidaystay ImageMagick

Darkcrizt

Daqiiqado 3

Dhawaan warku wuxuu faafiyay taas aqoonsaday nuglaanta halista ah (oo horay loogu qoray CVE-2021-3781) ku jira Ghostscript (qalab qalab ah oo loogu talagalay socodsiinta, beddelidda iyo abuurista dukumiintiyada ku jira PostScript iyo qaababka PDF) taas waxay kuu oggolaaneysaa inaad fuliso koodh aan ikhtiyaar ahayn marka la baarayo faylka qaabaysan.

Markii hore, Emil Lerner ayaa tilmaamay inay jirto dhibaato iyo oo isna ahaa kii ka hadlay nuglaanshaha 25 -kii Ogostoama shirkii ugu dambeeyay ee Saint Petersburg ZeroNights X (Warbixintu waxay muujisay sida Emile ugu jiro barnaamijka deeqda dhiqlaha si uu u adeegsado nuglaanta si uu abaalmarin ugu helo weerarrada bannaanbaxyada ee AirBNB, Dropbox iyo Yandex.Realty services).

5tii Sebtember, ka faa'iideysiga shaqaynaya ayaa soo muuqday domain dadweyne oo u oggolaanaya weerarada nidaamyada Ubuntu 20.04 adoo u wareejinaya qoraalka webka ee ku shaqeeya server-ka isagoo adeegsanaya xirmada php-imagemagick, oo ah dukumiinti si gaar ah loo farsameeyay oo lagu hoos sawiray sawir.

Waxaan leenahay xal imtixaamidda hadda.

Maaddaama dhiig -miirashadaani ay u muuqatay mid baahsan tan iyo bishii Maarso oo ay si buuxda u tahay dadweyne tan iyo ugu yaraan Ogosto 25 (wax badan oo ku saabsan shaacinta mas'uuliyadda leh!), Waxaan u janjeeraa inaan si toos ah ugu dhajiyo hagaajinta isla markaan dhammayno tijaabada iyo dib -u -eegista.

In kasta oo dhinaca kale, haddana waxaa la xusay in marka loo eego xogta hordhaca ah, dhiig -miirashada noocaas ah ayaa la isticmaalayay tan iyo bishii Maarso waxaana lagu dhawaaqay in waxay weerari karaan nidaamyada socodsiiya GhostScript 9.50, laakiin waxaa la shaaciyey in nuglaanta ay ku sii socoto dhammaan noocyada dambe ee GhostScript, oo ay ku jiraan nooca horumarinta Git 9.55.

Sixitaan ayaa markii dambe la soo jeediyay Sebtember 8 iyo dib -u -fiirinta asxaabta ka dib waxaa la aqbalay bakhaarka GhostScript Sebtember 9 -keedii.

Sidii aan hore u soo sheegay, maaddaama dhiig -miirashada ay “duurjoogta ku jirtay” ugu yaraan 6 bilood, waxaan mar hore u gudbiyay balastarka kaydka dadweynaha; xajinta balastarka xaaladdan waxay u muuqatay mid aan waxtar lahayn.

Waxaan shaacin doonaa dhibkaan ka hor inta aan la xirin meheradda (UK) Jimcaha, mar kale, haddii aysan jirin dood adag oo qasab ah oo aan sidaas la yeelin (weli waad ku xiriiri kartaa, ka dhigidda dadweynaha ma beddeli doonto URL -ka).

Dhibaatadu waxay sabab u tahay awoodda lagu dhaafi karo habka go'doominta "-dSAFER" Sababtoo ah ansixin aan ku filnayn xuduudaha aaladda PostScript "% pipe%", kaas oo oggolaaday in la fuliyo amarrada qolofka aan loo meel -dayin.

Tusaale ahaan, si aad ugu adeegsato aaladda aqoonsiga dukumintiga, waxaad u baahan tahay oo keliya inaad sheegto xarigga "(% pipe% / tmp / & id) (w) faylka" ama "(% pipe% / tmp /; id) (r) fayl ».

Xusuusin ahaan, Jilicsanaanta Ghostscript -ka ayaa aad uga daran, maadaama xirmadaan loo adeegsado codsiyo badan caan ku ah ka shaqaynta PostScript iyo qaababka PDF. Tusaale ahaan, Ghostscript waxaa loogu yeeraa marka la abuurayo sawir -gacmeedyada desktop -ka, marka la tilmaamayo xogta gadaasha, iyo marka la beddelo sawirrada. Weerarka guuleysta, xaalado badan, waa ku filan tahay in la soo dejiyo faylka ka faa'iideysiga ama lagu dhex raadsado tusaha maamulaha faylka ee taageera soo -bandhigga sawirrada yar -yar, tusaale ahaan Nautilus.

Jilicsanaanta Ghostscript sidoo kale waxaa laga faa'iidaysan karaa iyada oo loo marayo kontaroolada sawirka oo ku saleysan baakadaha ImageMagick iyo GraphicsMagick, gudbinta faylka JPEG ama PNG, oo ka kooban koodh PostScript halkii sawir (faylkaan waxaa lagu baaraandegi doonaa Ghostscript, maadaama nooca MIME lagu aqoonsaday nuxurka, iyo iyada oo aan ku xirnayn kordhinta).

Si looga hortago ka-faa'iideysiga nuglaanta iyada oo loo marayo matoorka tooska ah ee tooska ah ee GNOME iyo ImageMagick, waxaa lagugula talinayaa inaad curyaamiso wicitaanka-thumbnailer ee /usr/share/thumbnailers/evince.thumbnailer oo curyaaminta samaynta PS, EPS, PDF iyo qaababka XPS ee ImageMagick,

Finalmente Waxaa la xusay in qaybinta badan in dhibaatadu weli aan la hagaajin (xaaladda sii deynta cusbooneysiinta waxaa laga arki karaa bogagga Debian, Ubuntu, Fedora, SUSE, RHEL, Arch Linux, FreeBSD, NetBSD).

Waxaa sidoo kale la xusay in siideynta GhostScript oo la tirtiray nuglaanta loo qorsheeyay in la daabaco ka hor dhammaadka bisha. Haddii aad rabto inaad wax badan ka ogaato, waxaad ka eegi kartaa faahfaahinta ku jirta xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.