2024年3月11日,网上更新披露了一个Artifex Ghostscript 代码执行漏洞(CVE-2023-36664),Artifex Software Ghostscript 是美国 Artifex Software 公司的一款开源的 PostScript 解析器,可用于查看及打印 PS、EPS、PDF等文件,默认在多个 Linux 发行版安装,请各位用户尽快安装漏洞补丁。
漏洞风险:在Ghostscript 10.01.2 版本之前,没有对以 %pipe% 前缀或 | 管道字符前缀表示的管道设备做正确的权限验证处理。在处理管道设备时,由于其可以接受命令行调用,攻击者可以利用这个漏洞在使用管道设备时执行未经许可的命令。
风险等级:高风险。
影响范围:
Ghostscript/GhostPDL < 10.01.2
修复建议:
升级至安全版本Ghostscript/GhostPDL 10.01.2及以上
进行安全更新方法:
https://github.com/ArtifexSoftware/ghostpdl-downloads/releases
