#47283 – Необходимо обновить ghostscript до версии 10.01.2, чтобы закрыть CVE-2023-36664

Bug 47283 - Необходимо обновить ghostscript до версии 10.01.2, чтобы закрыть CVE-2023-36664

Summary: Необходимо обновить ghostscript до версии 10.01.2, чтобы закрыть CVE-2023-36664

Status:	ASSIGNED

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	ghostscript (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	Fr. Br. George
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2023-08-18 10:09 MSK by FelixZ
Modified:	2024-09-16 17:18 MSK (History)
CC List:	6 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description FelixZ 2023-08-18 10:09:49 MSK

Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путем использования префикса %pipe% или специального символа | 
Коммит в апстриме с упоминанием о баге:
https://git.ghostscript.com/?p=ghostpdl.git;a=commit;h=505eab7782b429017eb434b2b95120855f2b0e3c
Свежий релиз 10.01.2 в апстриме:
https://git.ghostscript.com/?p=ghostpdl.git;a=commit;h=06ba66167b2566ff75ee8486f2ee201e3817f891

Comment 1 FelixZ 2024-08-22 11:31:51 MSK

Уязвимость CVE-2023-36664 актуальна для текущей версии ghostscript. В апстриме уже есть версия 10.03.1 - https://github.com/ArtifexSoftware/ghostpdl-downloads/releases
Прошу обновить пакет.

Comment 2 Fr. Br. George 2024-08-28 17:18:12 MSK

Да, давно пора

Comment 3 FelixZ 2024-09-16 17:18:50 MSK

(Ответ для Fr. Br. George на комментарий #2)
> Да, давно пора

Добрый день! Есть ли прогресс по данной заявке?