https://opennet.dev/openforum/vsluhforumID3/115287.html Доступен (https://www.ghostscript.com/doc/9.24/News.htm) релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF - Ghostscript 9.25 (http://www.ghostscript.com), в котором продолжено исправление уязвимостей. После публикации выпуска Ghostscript 9.24, в котором были устранены критические уязвимости (https://www.opennet.ru/opennews/art.shtml?num=49224), исследователи безопасности пришли к выводу, что реализованный метод блокирования уязвимостей не охватывает все возможные векторы атаки. В частности, выявлено (https://www.openwall.com/lists/oss-security/2018/09/09/1) три новых варианта (CVE-2018-16802 (https://security-tracker.debian.org/tracker/CVE-2018-16802)) эксплуатации уязвимости CVE-2018-15909, позволяющих через манипуляцию с инструкцией "pipe" в PostScript-файле добиться исполнения кода атакующего. <br><br><br>URL: https://www.ghostscript.com/doc/9.24/News.htm<br>Новость: https://www.opennet.ru/opennews/art.shtml?num=49269<br> https://opennet.dev/openforum/vsluhforumID3/115287.html#3 Fri, 14 Sep 2018 11:21:16 GMT в общем, надо выпиливать из libmagick зависимость от gs. Это действительно дырка by design.<br><br> https://opennet.dev/openforum/vsluhforumID3/115287.html#2 Fri, 14 Sep 2018 10:01:03 GMT opennet snort забанил)))<br>"94.142.141.14<br> ET EXPLOIT Ghostscript invalidcheck escape attempt -- 2018-09-12 16:26:44"<br> https://opennet.dev/openforum/vsluhforumID3/115287.html#1 Fri, 14 Sep 2018 08:35:32 GMT Похоже это лишь вершина айсберга. Ghostscript очень старый проект, который создавался во времена когда о безопасности некто не думал. С учётом сложности PostScript уязвимостей можно всплыть море.<br>