Bug 47283 - Необходимо обновить ghostscript до версии 10.01.2, чтобы закрыть CVE-2023-36664
Summary: Необходимо обновить ghostscript до версии 10.01.2, чтобы закрыть CVE-2023-36664
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: ghostscript (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Fr. Br. George
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2023-08-18 10:09 MSK by FelixZ
Modified: 2024-10-03 12:00 MSK (History)
6 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description FelixZ 2023-08-18 10:09:49 MSK 
Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путем использования префикса %pipe% или специального символа | 
Коммит в апстриме с упоминанием о баге:
https://git.ghostscript.com/?p=ghostpdl.git;a=commit;h=505eab7782b429017eb434b2b95120855f2b0e3c
Свежий релиз 10.01.2 в апстриме:
https://git.ghostscript.com/?p=ghostpdl.git;a=commit;h=06ba66167b2566ff75ee8486f2ee201e3817f891
Comment 1 FelixZ 2024-08-22 11:31:51 MSK 
Уязвимость CVE-2023-36664 актуальна для текущей версии ghostscript. В апстриме уже есть версия 10.03.1 - https://github.com/ArtifexSoftware/ghostpdl-downloads/releases
Прошу обновить пакет.
Comment 2 Fr. Br. George 2024-08-28 17:18:12 MSK 
Да, давно пора
Comment 3 FelixZ 2024-09-16 17:18:50 MSK 
(Ответ для Fr. Br. George на комментарий #2)
> Да, давно пора

Добрый день! Есть ли прогресс по данной заявке?
Comment 4 Fr. Br. George 2024-10-03 12:00:31 MSK 
Собрал 10.04.0