ГлавнаяБаза уязвимостей БДУ → BDU:2023-02055
10критическая

BDU:2023-02055

Уязвимость набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript, связанная с записью за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-04-13
Описание

Уязвимость набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Fedora (37)Astra Linux Special Edition (4.7)Ghostscript (до 10.01.0)ОСОН ОСнова Оnyx (до 2.8)АЛЬТ СП 10ROSA Virtualization 3.0 (3.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для ограничения удалённого доступа;
- ограничение доступа из внешних сетей (Интернет);
- использование антивирусного программного обеспечения для обнаружения средств эксплуатации уязвимостей.

Использование рекомендаций:
Для Ghostscript:
https://git.ghostscript.com/?p=ghostpdl.git;a=commit;h=37ed5022cecd584de868933b5b60da2e995b3179

Для Debian:
https://www.debian.org/security/2023/dsa-5383

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CI6UCKM3XMK7PYNIRGAVDJ5VKN6XYZOE/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ghostscript до версии 9.53.3~dfsg-7+deb11u5

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет ghostscript до 9.53.3~dfsg-7+deb11u6+ci202310180206+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2682

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2023/04/12/4https://bugs.ghostscript.com/show_bug.cgi?id=706494https://ghostscript.readthedocs.io/en/latest/News.htmlhttps://git.ghostscript.com/?p=ghostpdl.git;a=commit;h=37ed5022cecd584de868933b5b60da2e995b3179https://lists.debian.org/debian-lts-announce/2023/04/msg00003.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CI6UCKM3XMK7PYNIRGAVDJ5VKN6XYZOE/https://www.debian.org/security/2023/dsa-5383http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена