Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Новая уязвимость в Ghostscript " | +/– | |
Сообщение от opennews (??), 15-Авг-19, 13:22 | ||
Не прекращается череда уязвимостей (1 (https://www.opennet.dev/opennews/art.shtml?num=50370), 2 (https://www.opennet.dev/opennews/art.shtml?num=50019), 3 (https://www.opennet.dev/opennews/art.shtml?num=49647), 4 (https://www.opennet.dev/opennews/art.shtml?num=49425), 5 (https://www.opennet.dev/opennews/art.shtml?num=49269), 6 (https://www.opennet.dev/opennews/art.shtml?num=49224)) в Ghostscript (https://www.ghostscript.com/doc/Readme.htm), наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Как и прошлые уязвимости новая проблема (https://www.openwall.com/lists/oss-security/2019/08/12/4) (CVE-2019-10216 (https://security-tracker.debian.org/tracker/CVE-2019-10216)) позволяет при обработке специально оформленных документов обойти режим изоляции "-dSAFER" (через манипуляции с ".buildfont1") и получить доступ к содержимому ФС, что можно использовать для организации атаки для выполнения произвольного кода в системе (например, через добавление команд в ~/.bashrc или ~/.profile). Исправление доступно в виде патча (http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=5b...). За появлением обновления пакетов в дистрибутивах можно проследить на данных страницах: Debian (https://security-tracker.debian.org/tracker/CVE-2019-10216), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1740198), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...), SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-10216), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10216), Arch (https://security.archlinux.org/CVE-2019-10216), FreeBSD (http://www.vuxml.org/freebsd/). | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Новая уязвимость в Ghostscript " | –2 +/– | |
Сообщение от Аноним (1), 15-Авг-19, 13:22 | ||
Не удивительно. Давно сбираю себе систему без поддержки GhostScript (просто потому что могу) и cups со всем остальным. Конечно, приходится пострадать немножко, поскольку его пихают во весь бинарный роприетарный софт (всё для вашего удобства, очевидно). | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
2. "Новая уязвимость в Ghostscript " | +5 +/– | |
Сообщение от Ноним (?), 15-Авг-19, 13:42 | ||
>Ну, что ж, если в poppler будет уязвимость, так тому и быть. Могу только предложить xpdf использовать | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
3. "Новая уязвимость в Ghostscript " | –1 +/– | |
Сообщение от Аноним (1), 15-Авг-19, 13:56 | ||
Как бы да, только xpdf сейчас уже 4+, а 3 может и 20 лет назад была (если верить файлу с исходниками, 2004 год). А какие ещё альтернативы? Он наверное единственный с pdf нормально работает. | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
8. "Новая уязвимость в Ghostscript " | +1 +/– | |
Сообщение от Аноним (8), 15-Авг-19, 17:30 | ||
> Как бы да, только xpdf сейчас уже 4+, а 3 может и | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
5. "Новая уязвимость в Ghostscript " | +/– | |
Сообщение от Аноним (5), 15-Авг-19, 15:43 | ||
Что за система у вас для ясности? | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
4. "Новая уязвимость в Ghostscript " | +1 +/– | |
Сообщение от KonstantinB (ok), 15-Авг-19, 14:59 | ||
Ну что поделать, когда придумывали postscript, видимо, казалось офигенной идеей сделать его тьюринг-полным языком программирования - всегда можно будет сделать что угодно. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
6. "Новая уязвимость в Ghostscript " | +/– | |
Сообщение от Hewlett Packard (?), 15-Авг-19, 15:52 | ||
Ну и при чем здесь Тьюринг-полнота? В Lua, например, две CVE, и обе из-за Си, а совсем не из-за Lua. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
7. "Новая уязвимость в Ghostscript " | +2 +/– | |
Сообщение от Andrey Mitrofanov_N0 (??), 15-Авг-19, 16:04 | ||
> Ну и при чем здесь Тьюринг-полнота? В Lua, например, две CVE, и | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
9. "Новая уязвимость в Ghostscript " | –3 +/– | |
Сообщение от ilyafedin (ok), 15-Авг-19, 17:34 | ||
Вот почему надо продвигать флатпаки, bubblewrap и прочее. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
15. "Новая уязвимость в Ghostscript " | +/– | |
Сообщение от Hewlett Packard (?), 15-Авг-19, 23:54 | ||
Пхают, но за пределы песочницы Lua VM выйти не получается. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
10. "Новая уязвимость в Ghostscript " | +/– | |
Сообщение от KonstantinB (ok), 15-Авг-19, 17:44 | ||
Произвольный LUA-скрипт не запустится у меня на компьютере сам по себе. | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
14. "Новая уязвимость в Ghostscript " | +/– | |
Сообщение от пох. (?), 15-Авг-19, 21:59 | ||
так и gs не запустится сам по себе - его, для начала, еще и установить придется. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
16. "Новая уязвимость в Ghostscript " | +/– | |
Сообщение от Hewlett Packard (?), 15-Авг-19, 23:55 | ||
Обрабатывать им eps и pdf аккуратно, огородив его. Для этого сейчас есть масса инструментов. | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
17. "Новая уязвимость в Ghostscript " | +/– | |
Сообщение от KonstantinB (ok), 16-Авг-19, 00:40 | ||
Да нет, достаточно просто взять и открыть pdf в какой-нибудь гляделке, которая использует ghostscript, ничего об этом не зная. А часто просто достаточно открыть директорию с pdf-кой в файловом менеджере, который услужливо сгенерит превьюшку (ну и майнер биткоинов заодно запустит). | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
20. "Новая уязвимость в Ghostscript " | –1 +/– | |
Сообщение от пох. (?), 16-Авг-19, 09:59 | ||
> А часто просто достаточно открыть директорию с pdf-кой в файловом менеджере | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
11. "Новая уязвимость в Ghostscript " | +/– | |
Сообщение от Аноним (11), 15-Авг-19, 19:54 | ||
Вот поэтому, лучше бы файлы лежали в tex, скомпилировать быстро и на тебе pdf, заодно всегда можно посмотреть, из чего это pdf состоит | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
18. "Новая уязвимость в Ghostscript " | +1 +/– | |
Сообщение от Аноним (18), 16-Авг-19, 01:28 | ||
>скомпилировать быстро | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
12. "Новая уязвимость в Ghostscript " | –3 +/– | |
Сообщение от Аноним (12), 15-Авг-19, 20:59 | ||
> Например, Ghostscript вызывается в процессе создания | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
13. "Новая уязвимость в Ghostscript " | +1 +/– | |
Сообщение от Аномимо (?), 15-Авг-19, 21:00 | ||
миниатюры зло | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
19. "Новая уязвимость в Ghostscript " | +/– | |
Сообщение от Andrey Mitrofanov_N0 (??), 16-Авг-19, 09:31 | ||
> миниатюры зло | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
21. "Новая уязвимость в Ghostscript " | –1 +/– | |
Сообщение от Аноним (21), 16-Авг-19, 21:18 | ||
Никогда такого не было, и вот опять. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
22. "Новая уязвимость в Ghostscript " | +/– | |
Сообщение от Аноним (22), 16-Авг-19, 22:21 | ||
Когда уже найдут героя, который сделает хорошо всем пользователям для работы с принтерами. Вообще вопрос окучивает только Apple своим CUPS. Остальные что-то как-то вообще область игнорируют я так понимаю | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
23. "Новая уязвимость в Ghostscript " | +/– | |
Сообщение от Тот самый (?), 17-Авг-19, 14:43 | ||
> MIME-тип распознаётся по содержимому, а не полагаясь на расширение | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |