ГлавнаяБаза уязвимостей БДУ → BDU:2019-00858
7.5критическая

BDU:2019-00858 (CVE-2018-18284)

Уязвимость процедуры 1Policy (обертка процедуры .forceput) набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript, связанная с возможностью обхода среды для безопасного выполнения, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2019-03-01
Описание

Уязвимость процедуры 1Policy (обертка процедуры .forceput) набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript связана с возможностью обхода среды для безопасного выполнения несмотря на использование опции -dSAFER. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ghostscript (до 9.26)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)
Способ устранения

Для Ghostscript:
Обновление программного обеспечения до 9.26 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета ghostscript) до 9.06~dfsg-2+deb8u11 или более поздней версии

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет ghostscript до 9.25~dfsg-0+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
http://git.ghostscript.com/?p=ghostpdl.git;h=8d19fdf63f91f50466b08f23e2d93d37a4c5ea0bhttps://nvd.nist.gov/vuln/detail/CVE-2018-18284https://security-tracker.debian.org/tracker/CVE-2018-18284https://seclists.org/oss-sec/2018/q4/56https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена