ГлавнаяБаза уязвимостей БДУ → BDU:2024-05062
4.9средняя

BDU:2024-05062 (CVE-2024-29510)

Уязвимость интерпретатора набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю выполнить выход из изолированной программной среды
Опубликовано: 2024-07-05
Описание

Уязвимость интерпретатора набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю выполнить выход из изолированной программной среды

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)АЛЬТ СП 10Ghostscript (до 10.03.1)ОСОН ОСнова Оnyx (до 2.11)Astra Linux Special Edition (1.8)МСВСфера (9.5)Astra Linux Special Edition (3.8)
Способ устранения

Использование рекомендаций:
Для Ghostscript:
https://cgit.ghostscript.com/cgi-bin/cgit.cgi/ghostpdl.git/commit/?id=9de16a6637b73e35f79d2d622de403b24e6502f2

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-29510

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-29510

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения ghostscript до версии 9.53.3~dfsg-7+deb11u7

Для ОС Astra Linux:
обновить пакет ghostscript до 9.53.3~dfsg-7+deb11u7.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Astra Linux Special Edition 1.8:
обновить пакет ghostscript до 10.0.0~dfsg-11+deb12u4.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет ghostscript до 9.53.3~dfsg-7+deb11u7.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:6197?lang=ru

Для ОС Astra Linux:
обновить пакет ghostscript до 10.0.0~dfsg-11+deb12u7.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Для ОС Astra Linux:
обновить пакет ghostscript до 10.0.0~dfsg-11+deb12u7.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Оценка CVSS
Балл4.9 — средняя опасность
Источники и патчи
https://codeanlabs.com/blog/research/cve-2024-29510-ghostscript-format-string-exploitation/https://bugs.ghostscript.com/show_bug.cgi?id=707662https://www.openwall.com/lists/oss-security/2024/07/03/7https://github.com/ArtifexSoftware/ghostpdl/blob/master/devices/gdevupd.c#L7019-L7040https://github.com/ArtifexSoftware/ghostpdl/blob/master/devices/gdevupd.c#L7044-L7056https://security-tracker.debian.org/tracker/CVE-2024-29510https://access.redhat.com/security/cve/CVE-2024-29510https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.11/
Проверьте безопасность своего сайта и почты → Полная проверка домена