Ghostscript搜索路径多个本地权限提升漏洞

受影响系统:

Ghostscript Ghostscript 8.64

描述:

Ghostscript是用于显示PostScript文件或向非PostScript打印机打印这些文件的程序。

Ghostscript在启动时会执行所有匹配./Encoding/*的文件但没有验证敏感文件的所有权,这可能导致执行任意PostScript代码;此外即使设置了-P-选项,Ghostscript也会从当前目录读取gs_init.ps。

<*来源:Christopher Yeleighton
        Paul Szabo (
psz@maths.usyd.edu.au
  
  链接:
http://marc.info/?l=bugtraq&m=127481208229558&w=2
        http://bugs.ghostscript.com/show_bug.cgi?format=multiple&id=691350
        https://bugzilla.novell.com/show_bug.cgi?format=multiple&id=608071
*>

建议:

厂商补丁:

Ghostscript
———–
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.ghostscript.com/

发表评论?

0 条评论。

发表评论