ghostscript-9.07-31.el7.10

エラータID: AXSA:2019-3795:02

リリース日: 
2019/04/03 Wednesday - 13:14
題名: 
ghostscript-9.07-31.el7.10
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Ghostscriptには、内部辞書で利用可能な superexec 演算子に欠陥があり、
巧妙に細工されたPostScriptファイルがこれを利用して例えば -dSAFER
オプションによる制約を受けずに、ファイルシステムにアクセスすることを
許してしまう脆弱性があります。 (CVE-2019-3835)

- Ghostscriptには、DefineResourceメソッドから利用できる forceput 演算子
に欠陥があり、巧妙に細工されたPostScriptファイルがこれを利用して例えば
-dSAFER オプションによる制約を受けずに、ファイルシステムにアクセスする
ことを許してしまう脆弱性があります。 (CVE-2019-3838)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

Update packages.

CVE: 
CVE-2019-3835
It was found that the superexec operator was available in the internal dictionary in ghostscript before 9.27. A specially crafted PostScript file could use this flaw in order to, for example, have access to the file system outside of the constrains imposed by -dSAFER.
CVE-2019-3838
It was found that the forceput operator could be extracted from the DefineResource method in ghostscript before 9.27. A specially crafted PostScript file could use this flaw in order to, for example, have access to the file system outside of the constrains imposed by -dSAFER.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. ghostscript-9.07-31.el7.10.src.rpm
    MD5: b2c79ebe66578f608e420d5cfdb9da47
    SHA-256: f2e001ca645e0a95b28229c370cadd8f10a2456c516ea1342648aaa2a5b4fa6c
    Size: 26.64 MB

Asianux Server 7 for x86_64
  1. ghostscript-9.07-31.el7.10.x86_64.rpm
    MD5: 8006721abb27f01e4dfd90d388332fd0
    SHA-256: ac68fd633c44f36403f31adec967d9c769d706b5e7e03670d606dec685d5d21f
    Size: 4.32 MB
  2. ghostscript-cups-9.07-31.el7.10.x86_64.rpm
    MD5: 7a5b9f87978e14504571171bd90206ad
    SHA-256: 82e240fc47790b42c08f92aef2c77501030577117a446f2e6776d2a74ce2c964
    Size: 59.23 kB
  3. ghostscript-9.07-31.el7.10.i686.rpm
    MD5: 4316be4cbabbdc02908bc7c1030d878b
    SHA-256: c2db8494fa15b8ea45150c0fa41548bd4f84f98f40824d76ab135bf787d59e37
    Size: 4.31 MB