2024年7月8日,网上更新披露了一个Artifex Ghostscript安全漏洞(CVE-2024-29511),Artifex Software Ghostscript 是美国 Artifex Software 公司的一款开源的 PostScript 解析器,支持 Tesseract OCR 引擎,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中,如果启用了Tesseract支持,当使用Tesseract加载特定语言的数据文件时,会根据OCRLanguage参数从相应路径加载 .traineddata 文件,攻击者可通过构造恶意 OCRLanguage 参数进行任意文件读写。修复版本中,通过禁止在SAFER模式下修改OCRLanguage参数以修复漏洞。
风险等级:高风险。
影响范围:
10.0.0~dfsg-1<=ghostscript<9.56.1~dfsg-1,
10.0.0~dfsg-11<=ghostscript<10.02.1~dfsg-3,
10.0.0~dfsg-11<=ghostscript<10.03.1~dfsg~git20240518-1
修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本。
进行安全更新方法:
https://github.com/ArtifexSoftware/ghostpdl-downloads/releases/tag/gs10031
