CVE-2013-5653

Опубликовано: 21 окт. 2013

Источник: redhat

CVSS3: 4

CVSS2: 4.3

Уязвимость игнорирования аргумента "-dSAFER" функциями "getenv" и "filenameforall" в Ghostscript, позволяющая удаленно читать данные через специально созданный PostScript-файл

Описание

Функции getenv и filenameforall в Ghostscript не учитывают аргумент -dSAFER, который обычно используется при обработке недоверенных документов. Это приводит к раскрытию информации. Специально созданный PostScript-документ может:

Читать значения переменных окружения,
Выводить содержимое директорий на целевой системе.

Затронутые версии ПО

Ghostscript 9.10

Тип уязвимости

Раскрытие информации

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 5	ghostscript	Will not fix
Red Hat OpenShift Enterprise 2	ghostscript	Will not fix
Red Hat Enterprise Linux 6	ghostscript	Fixed	RHSA-2017:0014	04.01.2017
Red Hat Enterprise Linux 7	ghostscript	Fixed	RHSA-2017:0013	04.01.2017

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1380327ghostscript: getenv and filenameforall ignore -dSAFER

4 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

CVE-2013-5653

CVSS3: 5.5

ubuntu

больше 8 лет назад

The getenv and filenameforall functions in Ghostscript 9.10 ignore the "-dSAFER" argument, which allows remote attackers to read data via a crafted postscript file.

CVE-2013-5653

CVSS3: 5.5

nvd

больше 8 лет назад

The getenv and filenameforall functions in Ghostscript 9.10 ignore the "-dSAFER" argument, which allows remote attackers to read data via a crafted postscript file.

CVE-2013-5653

CVSS3: 5.5

debian

больше 8 лет назад

The getenv and filenameforall functions in Ghostscript 9.10 ignore the ...

openSUSE-SU-2016:2855-1

suse-cvrf

почти 9 лет назад

Security update for ghostscript

SUSE-SU-2016:2817-1

suse-cvrf

почти 9 лет назад

Security update for ghostscript

4 Medium

CVSS3

4.3 Medium

CVSS2