Онҳо дар Ghostscript осебе ёфтанд, ки тавассути ImageMagick истифода мешуд

Чанде пеш ин хабар паҳн шуд осебпазирии муҳимро муайян кард (ки он аллакай ҳамчун CVE-2021-3781 каталог карда шудааст) дар Ghostscript (маҷмӯи асбобҳо барои коркард, табдил ва тавлиди ҳуҷҷатҳо дар форматҳои PostScript ва PDF) ки имкон медиҳад, ки рамзи худсарона иҷро карда шавад ҳангоми коркарди файли махсус форматшуда.

Дар аввал, Эмил Лернер ишора кард, ки мушкил вуҷуд дорад ва ки ӯ низ 25 август дар бораи осебпазирӣ сухан гуфта будё дар конфронси охирини ZeroNights X дар Петербург (Дар гузориш нишон дода шудааст, ки чӣ тавр Эмил дар доираи барномаи камбудиҳои хатоҳо осебпазириро барои гирифтани мукофот барои ҳамлаҳои намоишӣ ба AirBNB, Dropbox ва Yandex.Realty истифода мебарад).

5 сентябр як истисмори функсионалӣ пайдо шуд домени ҷамъиятӣ, ки ба ҳамла ба системаҳои Ubuntu 20.04 тавассути интиқоли веб-скрипте, ки дар сервер бо истифода аз бастаи php-imagemagick кор мекунад, ҳуҷҷати махсус тарҳрезишуда дар зери ниқоби тасвир имкон медиҳад.

Ҳоло мо як роҳи ҳалли озмоишро дорем.

Азбаски ин истисмор зоҳиран аз моҳи март паҳн шуда буд ва ҳадди аққал аз 25 август комилан оммавӣ аст (барои ифшои масъул!)

Ҳарчанд аз тарафи дигар, ҳамчунин зикр мешавад, ки тибқи маълумоти пешакӣ, чунин истисмор аз моҳи март истифода мешавад ва эълон карда шуд, ки метавонад ба системаҳое кор кунад, ки GhostScript 9.50 кор мекунанд, аммо маълум шуд, ки осебпазирӣ дар ҳама версияҳои минбаъдаи GhostScript, аз ҷумла версияи рушди Git 9.55 идома дорад.

Пас аз 8 сентябр ислоҳ пешниҳод карда шуд ва пас аз баррасии ҳамсолон он ба анбори GhostScript дар 9 сентябр қабул карда шуд.

Тавре ки ман пештар гуфта будам, азбаски истисмор ҳадди аққал 6 моҳ "дар ваҳшӣ" буд, ман аллакай ямоқро ба анбори ҷамъиятии худ пешниҳод кардам; махфӣ нигоҳ доштани ямоқ дар ин шароит бефоида менамуд.

Ман ин хатогиро пеш аз ба охир расидани тиҷорат (Британияи Кабир) рӯзи ҷумъа боз ошкоро эълон хоҳам кард, агар далелҳои қавӣ ва эътимодбахш вуҷуд надошта бошанд (шумо ба ҳар ҳол метавонед ба он пайванд кунед, то дастрас кардани он URL -ро тағир надиҳад).

Мушкилот аз қобилияти гузариши ҳолати ҷудокунии "-dSAFER" вобаста аст бинобар нокифоя будани тасдиқи параметрҳои дастгоҳи PostScript "% pipe%", ки имкон дод фармонҳои худсаронаи снарядҳо иҷро карда шаванд.

Масалан, барои иҷро кардани утилитаи мушаххаскунӣ дар ҳуҷҷат, шумо бояд танҳо сатри "(% pipe% / tmp / & id) (w) file" ё "(% pipe% / tmp /; id) (r) -ро нишон диҳед файл ».

Ҳамчун хотиррасон, осебҳо дар Ghostscript ҷиддӣтаранд, зеро ин маҷмӯъ дар бисёр замимаҳо истифода мешавад маъмул барои коркарди форматҳои PostScript ва PDF. Масалан, Ghostscript ҳангоми эҷоди эскизҳо дар мизи корӣ, ҳангоми индексатсияи маълумот дар замина ва ҳангоми табдил додани тасвирҳо даъват карда мешавад. Барои ҳамлаи бомуваффақият, дар бисёр ҳолатҳо, зеркашии файли истисмор ё дидани директория бо он дар мудири файл, ки намоиши аксҳои ҳуҷҷатҳоро дастгирӣ мекунад, масалан дар Nautilus кифоя аст.

Осебпазирӣ дар Ghostscript инчунин метавонад тавассути контроллерҳои тасвир истифода шавад дар асоси бастаҳои ImageMagick ва GraphicsMagick, гузаштани файли JPEG ё PNG, ки ба ҷои тасвир рамзи PostScript дорад (ин файл дар Ghostscript коркард карда мешавад, зеро навъи MIME бо мундариҷа эътироф карда мешавад ва бидуни вобаста ба васеъшавӣ).

Ҳамчун роҳи ҳалли муҳофизат аз истифодаи осебпазирӣ тавассути генератори худкори хурд дар GNOME ва ImageMagick, тавсия дода мешавад, ки занги evince-thumbnailer дар /usr/share/thumbnailers/evince.thumbnailer хомӯш карда шавад ва расонидани PS, EPS, PDF ва форматҳои XPS дар ImageMagick,

Finalmente Гуфта мешавад, ки дар бисёр тақсимотҳо ҳанӯз мушкил ҳал нашудааст (ҳолати нашри навсозиҳоро дар саҳифаҳои дидан мумкин аст Debian, Ubuntu, Федора, Сусус, RHEL, Коғази Linux, FreeBSD, NetBSD).

Инчунин қайд карда мешавад, ки нашри GhostScript бо рафъи осебпазирӣ то охири моҳ ба нақша гирифта шудааст. Агар шумо хоҳед, ки дар бораи он маълумоти бештар гиред, шумо метавонед тафсилотро дар зер тафтиш кунед истиноди зерин.


Мазмуни мақола ба принсипҳои мо риоя мекунад ахлоқи таҳрирӣ. Барои гузориш додани хато клик кунед ин ҷо.

Аваллин эзоҳро диҳед

Назари худро бинависед

Суроғаи почтаи электронии шумо нест, нашр карда мешавад. Майдонҳои талаб карда мешавад, бо ишора *

*

*

  1. Масъул барои маълумот: Мигел Анхел Гатан
  2. Мақсади маълумот: Назорати СПАМ, идоракунии шарҳҳо.
  3. Қонунӣ: Розигии шумо
  4. Иртиботи маълумот: Маълумот ба шахсони сеюм расонида намешавад, ба истиснои ӯҳдадориҳои қонунӣ.
  5. Нигоҳдории маълумот: Пойгоҳи додаҳо аз ҷониби Occentus Networks (ИА) ҷойгир карда шудааст
  6. Ҳуқуқҳо: Ҳар лаҳза шумо метавонед маълумоти худро маҳдуд, барқарор ва нест кунед.