ghostscript-8.70-6.6.0.1.AXS3

エラータID: AXSA:2012-97:01

リリース日: 
2012/02/07 Tuesday - 14:05
題名: 
ghostscript-8.70-6.6.0.1.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity: 
High
Description: 

以下項目について対処しました。<br />
<br />
[Security Fix]<br />
- Ghostscript の TrueType バイトデコードインタプリタの Ins_MINDEX 関数には一つずれエラーが存在し,ドキュメントの不正な TrueType フォントによって,リモートの攻撃者が任意のコードを実行したり,あるいはサービス拒否 (ヒープメモリ破壊) を引き起こす脆弱性があります。(CVE-2009-3743)<br />
<br />
- Ghostscript はカレントのワーキングディレクトリから初期化ファイルを読み込み,トロイの木馬ファイルによってローカルのユーザが任意の PostScript コマンドを実行する脆弱性があります。(CVE-2010-2055)<br />
<br />
- Ghostscript の gs_type2_interpret 関数には,圧縮されたデータストリームの中の巧妙に細工されたフォントデータによって,リモートの攻撃者がサービス拒否 (誤ったポインタ逆参照とアプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2010-4054)<br />
<br />
- 現時点では CVE-2010-4820 の情報が公開されておりません。<br />
CVEの情報が公開され次第情報をアップデートいたします。

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2009-3743
Off-by-one error in the Ins_MINDEX function in the TrueType bytecode interpreter in Ghostscript before 8.71 allows remote attackers to execute arbitrary code or cause a denial of service (heap memory corruption) via a malformed TrueType font in a document that trigger an integer overflow and a heap-based buffer overflow.
CVE-2010-2055
Ghostscript 8.71 and earlier reads initialization files from the current working directory, which allows local users to execute arbitrary PostScript commands via a Trojan horse file, related to improper support for the -P- option to the gs program, as demonstrated using gs_init.ps, a different vulnerability than CVE-2010-4820.
CVE-2010-4054
The gs_type2_interpret function in Ghostscript allows remote attackers to cause a denial of service (incorrect pointer dereference and application crash) via crafted font data in a compressed data stream, aka bug 691043.
CVE-2010-4820
Untrusted search path vulnerability in Ghostscript 8.62 allows local users to execute arbitrary PostScript code via a Trojan horse Postscript library file in Encoding/ under the current working directory, a different vulnerability than CVE-2010-2055.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. ghostscript-8.70-6.6.0.1.AXS3.src.rpm
    MD5: 5698a3779bccd33385019360c051b00b
    SHA-256: cf74f4b7048336f4280929d9eebb04188be92ff0d5290e9650ff9173aae7e715
    Size: 16.92 MB

Asianux Server 3 for x86
  1. ghostscript-8.70-6.6.0.1.AXS3.i386.rpm
    MD5: b575eb3182a0372db4011fd1a1ead120
    SHA-256: 04ca3498e6f9a64b9744b3bacbe84f757627bb66c0b9f55f7ef3f1060e9f250b
    Size: 9.00 MB
  2. ghostscript-devel-8.70-6.6.0.1.AXS3.i386.rpm
    MD5: 74f95d333a126c06de1ba56d49c0f988
    SHA-256: cb57763690d7a0fddd3ec1cca6fccef68a5eaf67e3b742e555fcd8a2a3278a45
    Size: 43.50 kB
  3. ghostscript-gtk-8.70-6.6.0.1.AXS3.i386.rpm
    MD5: e02c7116b7dd509829b0057b4a6b6dc1
    SHA-256: 42f117b483ecb39c13351eff538c46bde1a24d7d5751d96128cf09c47e662527
    Size: 35.33 kB

Asianux Server 3 for x86_64
  1. ghostscript-8.70-6.6.0.1.AXS3.x86_64.rpm
    MD5: ad05479c84bb5204f9d0386f3e62491c
    SHA-256: 61a48b5873430c9880efbe13eab20abf82b91a1725c90ca84e2477147327fdc5
    Size: 8.95 MB
  2. ghostscript-devel-8.70-6.6.0.1.AXS3.x86_64.rpm
    MD5: 90d3bb3905bfd65b15126f29f6cdc82a
    SHA-256: 05f5d45e593166c27d3217c6a83b59ca1197ebac1253e4adddea148e3d9b592b
    Size: 44.08 kB
  3. ghostscript-gtk-8.70-6.6.0.1.AXS3.x86_64.rpm
    MD5: fa06187385342ca65bc66102a40aefa8
    SHA-256: 74cbde34cb7be02ff5681e036225d0adf3ded2325229b87d250db9a4e42eb2da
    Size: 35.21 kB