Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05064

Опубликовано: 21 апр. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость компонента contrib/opvp/gdevopvp.c интерпретатора набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально сформированного PostScript-файла

Вендор

Red Hat Inc.
ООО «РусБИТех-Астра»
ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
АО «ИВК»
Artifex Software Inc.
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Astra Linux Special Edition
РЕД ОС
РОСА Кобальт
АЛЬТ СП 10
Ghostscript
ОСОН ОСнова Оnyx
ROSA Virtualization 3.0

Версия ПО

7 (Red Hat Enterprise Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
9 (Red Hat Enterprise Linux)
4.7 (Astra Linux Special Edition)
7.9 (РОСА Кобальт)
- (АЛЬТ СП 10)
до 10.03.1 (Ghostscript)
9.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
до 2.11 (ОСОН ОСнова Оnyx)
1.8 (Astra Linux Special Edition)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Red Hat Inc. Red Hat Enterprise Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
АО «ИВК» АЛЬТ СП 10 -
Red Hat Inc. Red Hat Enterprise Linux 9.0 Update Services for SAP Solutions
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Ghostscript:
https://cgit.ghostscript.com/cgi-bin/cgit.cgi/ghostpdl.git/commit/?id=7145885041bb52cc23964f0aa2aec1b1c82b5908
https://cgit.ghostscript.com/cgi-bin/cgit.cgi/ghostpdl.git/commit/?id=9de16a6637b73e35f79d2d622de403b24e6502f2
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-33871
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения ghostscript до версии 9.53.3~dfsg-7+deb11u7
Для ОС Astra Linux:
обновить пакет ghostscript до 9.53.3~dfsg-7+deb11u7.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для ОС Astra Linux Special Edition 1.8:
обновить пакет ghostscript до 10.0.0~dfsg-11+deb12u4.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет ghostscript до 9.53.3~dfsg-7+deb11u7.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет ghostscript до 9.53.3~dfsg-7+deb11u7.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2494
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2494
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2736

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 69%
0.00635
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20240923-05

CVSS3: 8.8
redos
9 месяцев назад

Множественные уязвимости ghostscript

ubuntu логотип

CVE-2024-33871

CVSS3: 8.8
ubuntu
12 месяцев назад

An issue was discovered in Artifex Ghostscript before 10.03.1. contrib/opvp/gdevopvp.c allows arbitrary code execution via a custom Driver library, exploitable via a crafted PostScript document. This occurs because the Driver parameter for opvp (and oprp) devices can have an arbitrary name for a dynamic library; this library is then loaded.

redhat логотип

CVE-2024-33871

CVSS3: 8.8
redhat
около 1 года назад

An issue was discovered in Artifex Ghostscript before 10.03.1. contrib/opvp/gdevopvp.c allows arbitrary code execution via a custom Driver library, exploitable via a crafted PostScript document. This occurs because the Driver parameter for opvp (and oprp) devices can have an arbitrary name for a dynamic library; this library is then loaded.

nvd логотип

CVE-2024-33871

CVSS3: 8.8
nvd
12 месяцев назад

An issue was discovered in Artifex Ghostscript before 10.03.1. contrib/opvp/gdevopvp.c allows arbitrary code execution via a custom Driver library, exploitable via a crafted PostScript document. This occurs because the Driver parameter for opvp (and oprp) devices can have an arbitrary name for a dynamic library; this library is then loaded.

debian логотип

CVE-2024-33871

CVSS3: 8.8
debian
12 месяцев назад

An issue was discovered in Artifex Ghostscript before 10.03.1. contrib ...

EPSS

Процентиль: 69%
0.00635
Низкий

8.8 High

CVSS3

10 Critical

CVSS2