ghostscript-9.07-31.el7.1
エラータID: AXSA:2019-3605:01
リリース日:
2019/02/15 Friday - 14:24
題名:
ghostscript-9.07-31.el7.1
影響のあるチャネル:
Asianux Server 7 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- Ghostscript には悪意のある PostScript ファイルにより,
.tempfile の制限を回避し,ファイルに書き込みすることができる
脆弱性が存在します。(CVE-2018-15908)
- Ghostscript には,.shfill オペレータを使用した型の取り違えに
より,攻撃者が細工された PostScript ファイルを介してインター
プリターのクラッシュを引き起こす脆弱性が存在します。
(CVE-2018-15909)
- Ghostscript には,ztype 型の取り違えにより,攻撃者が細工された
PostScript ファイルを介して,インタープリターのクラッシュを引き
起こす脆弱性が存在します。(CVE-2018-16511)
- Ghostscript にはテンポラリファイルの誤ったアクセス処理に関連
する処理を利用して,攻撃者が細工された PostScript ファイルを
介して本来読み出すことができないシステム上のファイルを読み取る
ことができる脆弱性が存在します。(CVE-2018-16539)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2018-15908
In Artifex Ghostscript 9.23 before 2018-08-23, attackers are able to supply malicious PostScript files to bypass .tempfile restrictions and write files.
In Artifex Ghostscript 9.23 before 2018-08-23, attackers are able to supply malicious PostScript files to bypass .tempfile restrictions and write files.
CVE-2018-15909
In Artifex Ghostscript 9.23 before 2018-08-24, a type confusion using the .shfill operator could be used by attackers able to supply crafted PostScript files to crash the interpreter or potentially execute code.
In Artifex Ghostscript 9.23 before 2018-08-24, a type confusion using the .shfill operator could be used by attackers able to supply crafted PostScript files to crash the interpreter or potentially execute code.
CVE-2018-16511
An issue was discovered in Artifex Ghostscript before 9.24. A type confusion in "ztype" could be used by remote attackers able to supply crafted PostScript to crash the interpreter or possibly have unspecified other impact.
An issue was discovered in Artifex Ghostscript before 9.24. A type confusion in "ztype" could be used by remote attackers able to supply crafted PostScript to crash the interpreter or possibly have unspecified other impact.
CVE-2018-16539
In Artifex Ghostscript before 9.24, attackers able to supply crafted PostScript files could use incorrect access checking in temp file handling to disclose contents of files on the system otherwise not readable.
In Artifex Ghostscript before 9.24, attackers able to supply crafted PostScript files could use incorrect access checking in temp file handling to disclose contents of files on the system otherwise not readable.
追加情報:
N/A
ダウンロード:
SRPMS
- ghostscript-9.07-31.el7.1.src.rpm
MD5: db34545565e80b81beafb06177de3104
SHA-256: 572c0cfe37e1c4448f4ee3183d486c5f9722d0c1c72f94eec0a1bad214cb52e3
Size: 26.59 MB
Asianux Server 7 for x86_64
- ghostscript-9.07-31.el7.1.x86_64.rpm
MD5: 950a6019e6c11f2ad63b948b83d17406
SHA-256: 04febb51da779a22fd21d50347c596a376b86c031b0b1c504a4514471cdee5ef
Size: 4.31 MB - ghostscript-cups-9.07-31.el7.1.x86_64.rpm
MD5: 7efe533955465113c02b0572ebcbceaf
SHA-256: 98c26afe8d430ff335b8fc57c5c9044476b13ab848564b8dc887cfd966f821a3
Size: 56.36 kB - ghostscript-9.07-31.el7.1.i686.rpm
MD5: 353e0fa7cec679a3dfb1088753ebe976
SHA-256: 06a4532185f0790c40cfc5602bfe20556f527c8ccd54fcb5bfa61aa90d16ec37
Size: 4.31 MB
English