Не прекращается череда уязвимостей (1 (https://www.opennet.ru/opennews/art.shtml?num=50370), 2 (https://www.opennet.ru/opennews/art.shtml?num=50019), 3 (https://www.opennet.ru/opennews/art.shtml?num=49647), 4 (https://www.opennet.ru/opennews/art.shtml?num=49425), 5 (https://www.opennet.ru/opennews/art.shtml?num=49269), 6 (https://www.opennet.ru/opennews/art.shtml?num=49224)) в Ghostscript (https://www.ghostscript.com/doc/Readme.htm), наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Как и прошлые уязвимости новая проблема (https://www.openwall.com/lists/oss-security/2019/08/12/4) (CVE-2019-10216 (https://security-tracker.debian.org/tracker/CVE-2019-10216)) позволяет при обработке специально оформленных документов обойти режим изоляции "-dSAFER" (через манипуляции с ".buildfont1") и получить доступ к содержимому ФС, что можно использовать для организации атаки для выполнения произвольного кода в системе (например, через добавление команд в ~/.bashrc или ~/.profile). Исправление доступно в виде патча (http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=5b...). За появлением обновления пакетов в дистрибутивах можно проследить на данных страницах: Debian (https://security-tracker.debian.org/tracker/CVE-2019-10216), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1740198), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...), SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-10216), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10216), Arch (https://security.archlinux.org/CVE-2019-10216), FreeBSD (http://www.vuxml.org/freebsd/).
Напомним, что уязвимости в Ghostscript представляют повышенную опасность, так как данный пакет используется во многих популярных приложениях для обработки форматов PostScript и PDF. Например, Ghostscript вызывается в процессе создания миниатюр на рабочем столе, при фоновой индексации данных и при преобразовании изображений. Для успешной атаки во многих случаях достаточно просто загрузить файл с эксплоитом или просмотреть каталог с ним в Nautilus. Уязвимости в Ghostscript также можно эксплуатировать через обработчики изображений на базе пакетов ImageMagick и GraphicsMagick, передав в них JPEG или PNG-файл, в котором вместо картинки находится код PostScript (такой файл будет обработан в Ghostscript, так как MIME-тип распознаётся по содержимому, а не полагаясь на расширение).URL: https://www.openwall.com/lists/oss-security/2019/08/12/4
Новость: https://www.opennet.ru/opennews/art.shtml?num=51288
Не удивительно. Давно сбираю себе систему без поддержки GhostScript (просто потому что могу) и cups со всем остальным. Конечно, приходится пострадать немножко, поскольку его пихают во весь бинарный роприетарный софт (всё для вашего удобства, очевидно).А для pdf... Ну, что ж, если в poppler будет уязвимость, так тому и быть. Могу только предложить xpdf использовать, да только okular дюже удобный.
>Ну, что ж, если в poppler будет уязвимость, так тому и быть. Могу только предложить xpdf использоватьадмины локалхоста как всегда:
>Poppler is a PDF rendering library based on the xpdf-3.0 code base.
Как бы да, только xpdf сейчас уже 4+, а 3 может и 20 лет назад была (если верить файлу с исходниками, 2004 год). А какие ещё альтернативы? Он наверное единственный с pdf нормально работает.
> Как бы да, только xpdf сейчас уже 4+, а 3 может и
> 20 лет назад была (если верить файлу с исходниками, 2004 год).
> А какие ещё альтернативы? Он наверное единственный с pdf нормально работает.poppler больше умеет оригинального xpdf4
Что за система у вас для ясности?
Ну что поделать, когда придумывали postscript, видимо, казалось офигенной идеей сделать его тьюринг-полным языком программирования - всегда можно будет сделать что угодно.О безопасности в те годы особо не задумывались.
Ну и при чем здесь Тьюринг-полнота? В Lua, например, две CVE, и обе из-за Си, а совсем не из-за Lua.
> Ну и при чем здесь Тьюринг-полнота? В Lua, например, две CVE, и
> обе из-за Си, а совсем не из-за Lua.В него пхают недовененные данные с интернетов? Да, этим он[о] отличается от gs. А если есть упоро ^W молодёжное прихожение, которое такое делает, то это проблема приложения, не "lua", конечно?
И да, разаработчики gs, кажется, под прошлой новостью об уязвимости анонимы брехали, объявили, что -- недоверенные данные не наша проблема.
Ау, коллеги, кто там это риносил? Эта новость тоже _не_ уязвимость?...
""Без удалённых уязвимостей! Ваще. Просто не включайте в розетку."" [модный тренд в безопасности]
Вот почему надо продвигать флатпаки, bubblewrap и прочее.
Пхают, но за пределы песочницы Lua VM выйти не получается.
Произвольный LUA-скрипт не запустится у меня на компьютере сам по себе.
так и gs не запустится сам по себе - его, для начала, еще и установить придется.Но вот что делать тем, кто ЗНАЕТ зачем он его установил - и это именно обработка документов .eps и .pdf ?
Обрабатывать им eps и pdf аккуратно, огородив его. Для этого сейчас есть масса инструментов.
Да нет, достаточно просто взять и открыть pdf в какой-нибудь гляделке, которая использует ghostscript, ничего об этом не зная. А часто просто достаточно открыть директорию с pdf-кой в файловом менеджере, который услужливо сгенерит превьюшку (ну и майнер биткоинов заодно запустит).
> А часто просто достаточно открыть директорию с pdf-кой в файловом менеджерену, этих-то мне и не жалко (нет у меня файловых менеджеров - неплохо обхожусь на большинстве систем. На редких исключениях - надеюсь, mc ничего такого делать (еще) не умеет?)
в принципе, у той же убунточки дефолтный конфиг imagick отключает ненужную автоматику и так просто - не откроется
Вот поэтому, лучше бы файлы лежали в tex, скомпилировать быстро и на тебе pdf, заодно всегда можно посмотреть, из чего это pdf состоит
>скомпилировать быстро
>быстроХоть сам себе не ври.
> Например, Ghostscript вызывается в процессе созданияПрекратите его вызывать! Найдите что-нибудь другое! Да и миниатюры эти никому не нужны, там ничего не разобрать!
миниатюры зло
> миниатюры злоимаджмаджик - добро.
"" Слон пляхой. Справка харёший. ""
Никогда такого не было, и вот опять.Ничего, camelot дропает ghostscript и переходит на pdfbox.
Когда уже найдут героя, который сделает хорошо всем пользователям для работы с принтерами. Вообще вопрос окучивает только Apple своим CUPS. Остальные что-то как-то вообще область игнорируют я так понимаю
> MIME-тип распознаётся по содержимому, а не полагаясь на расширениеМыши плакали, кололись, но продолжали жрать кактус :-(
Ну сколько можно уже наступать на эти грабли? Похоже, кто-то насильно тащит эту идею. Это-же явная диверсия.