Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05063

Опубликовано: 24 мар. 2024
Источник: fstec
CVSS3: 6.8
CVSS2: 5.6
EPSS Низкий

Описание

Уязвимость интерпретатора набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript связана с ошибками в обработке относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально сформированного PostScript-файла

Вендор

Red Hat Inc.
ООО «Ред Софт»
АО «ИВК»
Artifex Software Inc.
АО "НППКТ"
ООО «РусБИТех-Астра»

Наименование ПО

Red Hat Enterprise Linux
РЕД ОС
АЛЬТ СП 10
Ghostscript
ОСОН ОСнова Оnyx
Astra Linux Special Edition

Версия ПО

8 (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
9 (Red Hat Enterprise Linux)
- (АЛЬТ СП 10)
до 10.03.1 (Ghostscript)
до 2.11 (ОСОН ОСнова Оnyx)
1.8 (Astra Linux Special Edition)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Ghostscript:
https://cgit.ghostscript.com/cgi-bin/cgit.cgi/ghostpdl.git/commit/?id=79aef19c685984dc3da2dc090450407d9fbcff80
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-33870
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения ghostscript до версии 9.53.3~dfsg-7+deb11u7
Для ОС Astra Linux Special Edition 1.8:
обновить пакет ghostscript до 10.0.0~dfsg-11+deb12u4.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 35%
0.00136
Низкий

6.8 Medium

CVSS3

5.6 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240923-05

CVSS3: 8.8
redos
9 месяцев назад

Множественные уязвимости ghostscript

ubuntu логотип

CVE-2024-33870

CVSS3: 6.3
ubuntu
12 месяцев назад

An issue was discovered in Artifex Ghostscript before 10.03.1. There is path traversal (via a crafted PostScript document) to arbitrary files if the current directory is in the permitted paths. For example, there can be a transformation of ../../foo to ./../../foo and this will grant access if ./ is permitted.

redhat логотип

CVE-2024-33870

CVSS3: 6.8
redhat
около 1 года назад

An issue was discovered in Artifex Ghostscript before 10.03.1. There is path traversal (via a crafted PostScript document) to arbitrary files if the current directory is in the permitted paths. For example, there can be a transformation of ../../foo to ./../../foo and this will grant access if ./ is permitted.

nvd логотип

CVE-2024-33870

CVSS3: 6.3
nvd
12 месяцев назад

An issue was discovered in Artifex Ghostscript before 10.03.1. There is path traversal (via a crafted PostScript document) to arbitrary files if the current directory is in the permitted paths. For example, there can be a transformation of ../../foo to ./../../foo and this will grant access if ./ is permitted.

debian логотип

CVE-2024-33870

CVSS3: 6.3
debian
12 месяцев назад

An issue was discovered in Artifex Ghostscript before 10.03.1. There i ...

EPSS

Процентиль: 35%
0.00136
Низкий

6.8 Medium

CVSS3

5.6 Medium

CVSS2