W Artifex Ghostscript przed wersją 10.05.0 odkryto krytyczny błąd przepełnienia bufora (buffer overflow) w obsłudze urządzenia drukującego BJ10V. Podatność może zostać wykorzystana zdalnie bez uwierzytelnienia, co czyni ją poważnym zagrożeniem dla systemów korzystających z tej biblioteki.
▸ Pokaż oryginał (EN)
An issue was discovered in Artifex Ghostscript before 10.05.0. The BJ10V device has a Print buffer overflow in contrib/japanese/gdev10v.c.
Błąd typu buffer overflow (CWE-120) występuje w pliku contrib/japanese/gdev10v.c, odpowiedzialnym za obsługę sterownika urządzenia BJ10V. Podczas przetwarzania danych wydruku możliwe jest przepełnienie bufora w pamięci, co prowadzi do nadpisania sąsiednich obszarów pamięci procesu. Atakujący może dostarczyć spreparowany dokument lub dane wejściowe, które wyzwolą ten błąd bez konieczności posiadania uprawnień ani interakcji użytkownika.
Pomyślne wykorzystanie podatności może pozwolić atakującemu na uzyskanie pełnej kontroli nad procesem Ghostscript, w tym na zdalne wykonanie dowolnego kodu (RCE), ujawnienie poufnych danych oraz zakłócenie dostępności usługi.
Należy zaktualizować Artifex Ghostscript do wersji 10.05.0 lub nowszej. Użytkownicy dystrybucji Debian powinni zastosować dostępne pakiety bezpieczeństwa zgodnie z ogłoszeniem debian-lts-announce z kwietnia 2025 r.
Artifex Ghostscript we wszystkich wersjach przed 10.05.0
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HArtifex Ghostscript
APPArtifex< 10.05.0
Powiązane podatności
Path Traversal w Artifex Ghostscript przez nieprawidłowe znaki UTF-8
Buffer overflow w Artifex Ghostscript — urządzenie DOCXWRITE/TXTWRITE
Buffer overflow w urządzeniu NPDL Artifex Ghostscript (kompresja)
Artifex Ghostscript — out-of-bounds write i use-after-free w obsłudze txtwrite
In Artifex Ghostscript through 10.01.0, there is a buffer overflow leading to potential corruption of data int...