CVE-2019-3835

Опубликовано: 21 мар. 2019

Источник: redhat

CVSS3: 7.3

Описание

It was found that the superexec operator was available in the internal dictionary in ghostscript before 9.27. A specially crafted PostScript file could use this flaw in order to, for example, have access to the file system outside of the constrains imposed by -dSAFER.

It was found that the superexec operator was available in the internal dictionary. A specially crafted PostScript file could use this flaw in order to, for example, have access to the file system outside of the constrains imposed by -dSAFER.

Меры по смягчению последствий

Please refer to the "Mitigation" section of CVE-2018-16509 : https://access.redhat.com/security/cve/cve-2018-16509

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 5	ghostscript	Will not fix
Red Hat Enterprise Linux 6	ghostscript	Will not fix
Red Hat Enterprise Linux 7	ghostscript	Fixed	RHSA-2019:0633	21.03.2019
Red Hat Enterprise Linux 8	ghostscript	Fixed	RHSA-2019:0971	07.05.2019

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important

Дефект:

CWE-648

https://bugzilla.redhat.com/show_bug.cgi?id=1677588ghostscript: superexec operator is available (700585)

7.3 High

CVSS3

Связанные уязвимости

CVE-2019-3835

CVSS3: 5.5

ubuntu

больше 6 лет назад

CVE-2019-3835

CVSS3: 5.5

nvd

больше 6 лет назад

CVE-2019-3835

CVSS3: 5.5

debian

больше 6 лет назад

It was found that the superexec operator was available in the internal ...

GHSA-22vx-j9g4-5q8f

CVSS3: 5.5

github

больше 3 лет назад

BDU:2019-01299

CVSS3: 7.3

fstec

больше 6 лет назад

Уязвимость программы конвертирования файлов Ghostscript, связанная с небезопасным управлением привилегиями, позволяющая нарушителю повысить свои привилегии

7.3 High

CVSS3