Kritische Sicherheitslücken in Ghostscript
Table of Contents
In Ghostscript, einem Interpreter für PostScript und PDF, wurden mehrere kritische Sicherheitslücken behoben. Diese Schwachstellen betreffen verschiedene Ubuntu-Versionen und erlauben es Angreifern, Arbitrary Code auszuführen oder Dateizugriffe zu erlangen.
Betroffene Ubuntu-Versionen:
- Ubuntu 24.04 LTS
- Ubuntu 23.10
- Ubuntu 22.04 LTS
- Ubuntu 20.04 LTS
Schwachstellen:
- CVE-2023-52722: Unsachgemäße Einschränkung der eexec-Seeds im SAFER-Modus, ermöglicht Angreifern das Umgehen von Sicherheitsbeschränkungen. Betrifft Ubuntu 20.04 LTS, 22.04 LTS und 23.10.
- CVE-2024-29510: Format-String-Schwachstelle durch unzureichende Validierung von uniprint-Argumenten, ermöglicht Ausführung beliebigen Codes.
- CVE-2024-33869: Unzureichende Pfadreduzierung bei der Pfadvalidierung, ermöglicht unautorisierten Dateizugriff und Codeausführung.
- CVE-2024-33870: Fehlerhafte Argumentprüfung bei der Pfadreduzierung, ermöglicht unautorisierten Dateizugriff.
- CVE-2024-33871: Möglichkeit zur Angabe einer beliebigen dynamischen Bibliothek im „Driver“-Parameter des „opvp“/„oprp“-Geräts, ermöglicht Codeausführung.
Die Sicherheitslücken wurden durch Updates der Ghostscript-Pakete behoben. Benutzer sollten ihre Systeme auf die neuesten Versionen aktualisieren:
- Ubuntu 24.04: Ghostscript 10.02.1~dfsg1-0ubuntu7.1
- Ubuntu 23.10: Ghostscript 10.01.2~dfsg1-0ubuntu2.3
- Ubuntu 22.04: Ghostscript 9.55.0~dfsg1-0ubuntu5.7
- Ubuntu 20.04: Ghostscript 9.50~dfsg-5ubuntu4.12
Ein reguläres Systemupdate bringt die erforderlichen Änderungen mit sich.
Referenzen: CVE-2024-33871, CVE-2024-33870, CVE-2023-52722, CVE-2024-33869, CVE-2024-29510