Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05559

Опубликовано: 24 янв. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции pdf_base_font_alloc() набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript связана с переполнением буфера в результате неправильного масштабирования указателя (".F" PRI_INTPTR). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Canonical Ltd.
ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
АО «ИВК»
Artifex Software Inc.
АО "НППКТ"

Наименование ПО

Astra Linux Special Edition
Ubuntu
РЕД ОС
РОСА ХРОМ
АЛЬТ СП 10
Ghostscript
ОСОН ОСнова Оnyx

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
20.04 LTS (Ubuntu)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
22.04 LTS (Ubuntu)
12.4 (РОСА ХРОМ)
- (АЛЬТ СП 10)
24.04 LTS (Ubuntu)
до 10.03.0 (Ghostscript)
1.8 (Astra Linux Special Edition)
до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Canonical Ltd. Ubuntu 20.04 LTS
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 22.04 LTS
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
Canonical Ltd. Ubuntu 24.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Ghostscript:
https://cgit.ghostscript.com/cgi-bin/cgit.cgi/ghostpdl.git/commit/?id=ff1013a0ab485b66783b70145e342a82c670906a
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6897-1
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет ghostscript до 9.53.3~dfsg-7+deb11u7.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
обновить пакет ghostscript до 10.0.0~dfsg-11+deb12u6.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2623
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2622
Обновление программного обеспечения ghostscript до версии 9.53.3~dfsg-7+deb11u9
Для ОС Astra Linux:
обновить пакет ghostscript до 9.53.3~dfsg-7+deb11u8.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
обновить пакет ghostscript до 9.53.3~dfsg-7+deb11u8.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 1%
0.00013
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20240826-06

CVSS3: 8.8
redos
10 месяцев назад

Уязвимость ghostscript

ubuntu логотип

CVE-2024-29508

CVSS3: 3.3
ubuntu
12 месяцев назад

Artifex Ghostscript before 10.03.0 has a heap-based pointer disclosure (observable in a constructed BaseFont name) in the function pdf_base_font_alloc.

redhat логотип

CVE-2024-29508

CVSS3: 4.4
redhat
12 месяцев назад

Artifex Ghostscript before 10.03.0 has a heap-based pointer disclosure (observable in a constructed BaseFont name) in the function pdf_base_font_alloc.

nvd логотип

CVE-2024-29508

CVSS3: 3.3
nvd
12 месяцев назад

Artifex Ghostscript before 10.03.0 has a heap-based pointer disclosure (observable in a constructed BaseFont name) in the function pdf_base_font_alloc.

debian логотип

CVE-2024-29508

CVSS3: 3.3
debian
12 месяцев назад

Artifex Ghostscript before 10.03.0 has a heap-based pointer disclosure ...

EPSS

Процентиль: 1%
0.00013
Низкий

8.8 High

CVSS3

10 Critical

CVSS2