10критическая
BDU:2018-01085
Уязвимость набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript, вызванная использованием неинициализированной памяти, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2018-09-14
Описание
Уязвимость набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript вызвана использованием неинициализированной памяти при манипуляции с оператором aesdecode в PostScript-файлах. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально сформированного PostScript-файла
Затрагиваемое ПО и версии
Ghostscript (5.56)Ghostscript (6.01)Ghostscript (6.50)Ghostscript (7.0)Ghostscript (7.03)Ghostscript (7.04)Ghostscript (8.0)Ghostscript (от 8.10 до 8.12 включительно)Ghostscript (от 8.30 до 8.33 включительно)Ghostscript (от 8.50 до 8.54 включительно)Ghostscript (8.56)Ghostscript (8.57)Ghostscript (от 8.60 до 8.64 включительно)Ghostscript (8.70)Ghostscript (8.71)Ghostscript (от 9.00 до 9.02 включительно)Ghostscript (от 9.04 до 9.07 включительно)Ghostscript (9.09)Ghostscript (9.10)Ghostscript (от 9.14 до 9.16 включительно)Ghostscript (от 9.18 до 9.23 включительно)
Способ устранения
Обновление программного обеспечения до 9.24 или более поздней версии:
https://ghostscript.com/doc/9.24/History9.htm#Version9.24
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи