关于Ghostscript代码执行漏洞(CVE-2023-36664)的预警提示
发布时间:2023-08-22浏览次数:192
一、漏洞详情 Ghostscript是PostScript语言和PDF文件的开源解释器,许多Linux发行版中默认安装Ghostscript,并被 LibreOffice、GIMP、Inkscape、Scribus、ImageMagick和CUPS打印系统等软件使用。 近日监测到Ghostscript代码执行漏洞(CVE-2023-36664),该漏洞源于Ghostscript 中的gp_file_name_reduce()函数,由于对管道设备(带有%pipe%或 | 管道字符前缀)的权限验证处理不当,处理特制文件时可能导致代码执行。 建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。 二、影响范围 Ghostscript/GhostPDL版本 < 10.01.2 三、修复建议 目前该漏洞已经修复,受影响用户可升级到Ghostscript/GhostPDL版本10.01.2;Linux 用户可使用其发行版的包管理器升级到Ghostscript最新版本。 下载链接:https://www.ghostscript.com/releases/index.html |