BDU:2019-03223: Уязвимость процедуры .buildfont1 программы конвертирования файлов формата PostScript Ghostscript, позволяющая нарушителю повысить свои привилегии и получить доступ к файловой системе

Описание уязвимости Уязвимость процедуры .buildfont1 программы конвертирования файлов формата PostScript Ghostscript связана с неправильным использованием привилегированных API. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и получить доступ к файловой системе в обход ограничений, наложенных –dSAFER, с помощью специально созданного файла PostScript
Вендор Red Hat Inc., ООО «РусБИТех-Астра», Artifex Software Inc., АО «Концерн ВНИИНС»
Наименование ПО Red Hat Enterprise Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Ghostscript, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО 5 (Red Hat Enterprise Linux), 6 (Red Hat Enterprise Linux), 7 (Red Hat Enterprise Linux), 1.6 «Смоленск» (Astra Linux Special Edition), 8 (Red Hat Enterprise Linux), до 9.28 (Ghostscript), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), 1.0 (ОС ОН «Стрелец»)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Неправильное использование привилегированных API
Идентификатор типа ошибки CWE-648
Класс уязвимости Уязвимость кода
Дата выявления 02.08.2019
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:


Для Ghostscript:

http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=5b85ddd19



Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2019-10216

Для Astra Linux:
Обновление программного обеспечения (пакета ghostscript) до 9.26a~dfsg-0+deb9u5 или более поздней версии

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Злоупотребление функционалом
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -