OpenForum RSS: Очередные критические уязвимости в Ghostscript https://www.opennet.ru/openforum/vsluhforumID3/116883.html Продолжают (https://www.openwall.com/lists/oss-security/2019/03/21/1) находить критические уязвимости в Ghostscript (https://www.ghostscript.com/doc/Readme.htm), наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Новые проблемы CVE-2019-3835 и CVE-2019-3838 позволяют обойти режим изоляции "-dSAFER" и организовать выполнение произвольного кода в системе при обработке специально оформленных документов. В дистрибутивах уязвимости устранены в RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3835), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1691327) и Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3835.html) и остаются неисправленными в Debian (https://security-tracker.debian.org/tracker/CVE-2019-3835), Arch (https://security.archlinux.org/CVE-2019-3835), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-3835), FreeBSD (http://www.vuxml.org/freebsd/). За последние 6 месяцев в Ghostscript выявлено уже 16 подоб Очередные критические уязвимости в Ghostscript (adolfus) https://www.opennet.ru/openforum/vsluhforumID3/116883.html#100 Mon, 25 Mar 2019 08:55:14 GMT djvu -- растровый формат. Причем ничем не лучше других растровых форматов. Не знаю как там pdf, а постскрипт -- это векторный язык описания страниц. Я на нем могу нарисовать линию толщиной в 1/1200 дюйма и напечатать на своем принтере. Это ~20 микрон. <br> Очередные критические уязвимости в Ghostscript (.) https://www.opennet.ru/openforum/vsluhforumID3/116883.html#99 Sat, 23 Mar 2019 17:56:23 GMT на самом деле гугль решил (ну или врал что решил) эту проблему десять лет назад, гуглите ;-) google book reader.<br><br>идея выложена в, э, гм, опенсорс. Реализацию, увы, никто кроме гугля так и не осилил. <br>Хотя там ничего особенного - пылесос, две линейки и свет от дешевого планшетника, пара фотодатчиков и движок то ли от большого плоттера, то ли хрен знает от чего.<br><br>Жаль что не осилили - кое-какие документы можно было бы так спасти.<br><br> Очередные критические уязвимости в Ghostscript (Аноним84701) https://www.opennet.ru/openforum/vsluhforumID3/116883.html#98 Sat, 23 Mar 2019 15:25:05 GMT &gt; Глупости пишите.<br>&gt; Реже где? На опеннете, где виндузятники сидят и смузи пьют? Пройдись по <br>&gt; файловым хранилищам, либгене, флибусте, рутрэкере и тп. Везде djvu. Ещё fb2 <br>&gt; очень популярен. mobi, epub.<br><br>На флибусте в основном fb2, epub, mobi и "читать онлайн", с которым вполне справляется старенький киндл (т.е. можно тупо сохранить в хтмл на подключенный киндл и читать там).<br>[code]<br>% find ~ &#124;grepi -c "docx\?$" <br>509<br>% find ~ &#124;grepi -c "pdf$" <br>981<br> % find ~ &#124;grepi -c "html\?$"<br>14710<br>% find ~ &#124;grepi -c "txt$" <br>10668<br>% find ~ &#124;grepi -c "epub$"<br>2<br>% find ~ &#124;grepi -c "mobi\?$"<br>7<br>[/code]<br><br>А в djvu у меня как раз "[Lafore_R.]_Obektno-orientirovannoe_programmirovan(BookFi.org).djvu", ну и Басни Эзопа.<br><br>&gt; Мало интересует djvu только тех кто мало читает.<br><br>Ага. Или читает "неправильно", т.е. не так, как это делают некоторые комментаторы опеннета.<br> Очередные критические уязвимости в Ghostscript (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/116883.html#97 Sat, 23 Mar 2019 08:37:27 GMT Цитируйте до коца "...could be used to modify the content of bashrc" При доступе на запись к ФС "произвольный код" уже можно считать выполненным.<br><br> Очередные критические уязвимости в Ghostscript (Иваныч) https://www.opennet.ru/openforum/vsluhforumID3/116883.html#96 Sat, 23 Mar 2019 07:58:51 GMT Чем DJVU особо лучше TIFF?<br> Очередные критические уязвимости в Ghostscript (vedronim) https://www.opennet.ru/openforum/vsluhforumID3/116883.html#95 Sat, 23 Mar 2019 02:16:37 GMT Текст на изгибах переплета распознается криво.<br> Очередные критические уязвимости в Ghostscript (vedronim) https://www.opennet.ru/openforum/vsluhforumID3/116883.html#94 Fri, 22 Mar 2019 19:56:50 GMT &gt;&gt; А не-дилетант в курсе, что распознанный текст, независимо от версии распознавалки, требует <br>&gt;&gt; вычитки, особенно если это не беллетристика? Или ваша чудо-утилита сама ее <br>&gt;&gt; делает?<br>&gt; я обработал около 800 или может даже 900 книг, вся моя библиотека <br>&gt; + если люди сканы присылают для обработки и могу сказать, что <br>&gt; при нормальном скане вычитывать вообще ничего не надо. <br><br>Нормальный скан возможен только отдельных, красиво напечатанных листочков А4. Как только начинаются книги с переплетом, так без вычитки никак не обойтись.<br><br> Очередные критические уязвимости в Ghostscript (тоже Аноним) https://www.opennet.ru/openforum/vsluhforumID3/116883.html#93 Fri, 22 Mar 2019 18:19:08 GMT Жена спросила: "что ты с ним вообще споришь?". Пожалуй, соглашусь с ней.<br> Очередные критические уязвимости в Ghostscript (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/116883.html#91 Fri, 22 Mar 2019 18:12:03 GMT У меня на Кубунте кто-то уже заботливо подправил /etc/ImageMagick/policy.xml, забыв включить туда PS2, PS3 и EPS. Но зато там был EPI, что тоже относится к ghostscript, но отсутствует в рекомендации при новости.<br>