ГлавнаяБаза уязвимостей БДУ → BDU:2024-05559
10критическая

BDU:2024-05559

Уязвимость функции pdf_base_font_alloc() набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2024-07-22
Описание

Уязвимость функции pdf_base_font_alloc() набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript связана с переполнением буфера в результате неправильного масштабирования указателя (`".F" PRI_INTPTR`). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (20.04 LTS)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Ubuntu (22.04 LTS)РОСА ХРОМ (12.4)АЛЬТ СП 10Ubuntu (24.04 LTS)Ghostscript (до 10.03.0)Astra Linux Special Edition (1.8)ОСОН ОСнова Оnyx (до 2.12)Astra Linux Special Edition (3.8)
Способ устранения

Использование рекомендаций:
Для Ghostscript:
https://cgit.ghostscript.com/cgi-bin/cgit.cgi/ghostpdl.git/commit/?id=ff1013a0ab485b66783b70145e342a82c670906a

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6897-1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет ghostscript до 9.53.3~dfsg-7+deb11u7.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет ghostscript до 10.0.0~dfsg-11+deb12u6.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2623

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2622

Обновление программного обеспечения ghostscript до версии 9.53.3~dfsg-7+deb11u9

Для ОС Astra Linux:
обновить пакет ghostscript до 9.53.3~dfsg-7+deb11u8.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет ghostscript до 9.53.3~dfsg-7+deb11u8.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для ОС Astra Linux:
обновить пакет ghostscript до 10.0.0~dfsg-11+deb12u7.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Для ОС Astra Linux:
обновить пакет ghostscript до 10.0.0~dfsg-11+deb12u7.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://bugs.ghostscript.com/show_bug.cgi?id=707510https://www.openwall.com/lists/oss-security/2024/07/03/7https://ghostscript.com/docs/9.54.0/VectorDevices.htmhttps://www.cybersecurity-help.cz/vdb/SB2024070521https://vuldb.com/?id.270319http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена