ГлавнаяБаза уязвимостей БДУ → BDU:2019-03227
10критическая

BDU:2019-03227 (CVE-2019-14813)

Уязвимость процедуры setsystemparams программы конвертирования файлов формата PostScript Ghostscript, позволяющая нарушителю выполнить произвольные команды или получить доступ к файловой системе
Опубликовано: 2019-09-19
Описание

Уязвимость процедуры setsystemparams программы конвертирования файлов формата PostScript Ghostscript связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды или получить доступ к файловой системе в обход ограничений, наложенных –dSAFER, с помощью специально созданного файла PostScript

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (5)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (19.04)Red Hat Enterprise Linux (8)Debian GNU/Linux (8)Ghostscript (до 9.28)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)ОС ОН «Стрелец» (1.0)Альт 8 СПОС ОН «Стрелец» (до 16.01.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Ghostscript:

http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=885444fcbe10dc42787ecb76686c8ee4dd33bf33



Для Ubuntu:

https://usn.ubuntu.com/4111-1/



Для Debian GNU/Linux:

https://lists.debian.org/debian-lts-announce/2019/09/msg00007.html



Для программных продуктов Red Hat Inc.:

https://bugzilla.redhat.com/show_bug.cgi?id=1743737

Для Astra Linux:
Обновление программного обеспечения (пакета ghostscript) до 9.26a~dfsg-0+deb9u5 или более поздней версии

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ghostscript до версии 9.26a~dfsg-0+deb9u9

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2682

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=885444fcbe10dc42787ecb76686c8ee4dd33bf33https://access.redhat.com/errata/RHSA-2019:2594https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14813https://lists.debian.org/debian-lts-announce/2019/09/msg00007.htmlhttps://seclists.org/bugtraq/2019/Sep/15https://www.debian.org/security/2019/dsa-4518https://usn.ubuntu.com/4111-1/https://wiki.astralinux.ru/pages/viewpage.action?pageId=41192827
Проверьте безопасность своего сайта и почты → Полная проверка домена