·CVE-2016-7977
描述:我們發現ghostscript function.libfile不支持-dSAFER選項,該選項通常在處理不可信的文檔時使用,從而導致信息泄露。精心構建的postscript文檔可以在gs進程的上下文中檢索目標計算機上的文件內容。
·CVE-2016-7978
描述:發現ghostscript函數.setdevice由于引用計數不正確而遭受釋放后使用漏洞。精心構建的postscript文檔可以觸發gs進程上下文中的代碼執行。
·CVE-2016-7979
描述:發現ghostscript函數.initialize_dsc_parser在使用它之前沒有驗證其參數,從而導致類型混淆缺陷。巧盡心思構建的postscript文檔可能會導致gs進程上下文中的崩潰代碼執行。
·CVE-2016-8602
描述:發現ghostscript沒有充分檢查給.sethalftone5函數的參數的有效性。一個精心編制的postgs腳本可能會在一個精心編制的文檔上下文中執行。
·CVE-2017-7207
描述:在ghostscript的mem_get_bits_rectangle函數中發現空指針取消引用缺陷。巧盡心思構建的postscript文檔可能會導致gs進程上下文中的崩潰。
·CVE-2017-8291
描述:發現ghostscript沒有正確驗證傳遞給.rsdparams和.eqproc函數的參數。在執行期間,巧盡心思構建的PostScript文檔可以在ghostscript進程的上下文中執行代碼,從而繞過-dSAFER保護。
·CVE-2018-10194
描述:Artifex Ghostscript到9.22版本的pdfwrite組件中devices/vector/gdevpdts.c中的set_text_distance函數無法防止文本定位計算中的溢出,遠程攻擊者可借助特制的PDF文檔造成拒絕服務(應用程序崩潰)或可能產生其他未指明的影響。
·CVE-2018-15910
描述:發現LockDistillerParams參數的類型未正確驗證。攻擊者可能會利用此漏洞繞過-dSAFER保護并崩潰虛腳本,或者可能通過特制的PostScript文檔在虛腳本上下文中執行任意代碼。
·CVE-2018-16509
描述:發現RHSA-2018:2918沒有完全修復CVE-2018-16509。攻擊者可能利用該漏洞的另一個變體,并繞過-dSAFER保護,例如,通過巧盡心思構建的PostScript文檔執行任意shell命令。
·CVE-2018-16542
描述:我們發現ghostscript沒有正確處理某些堆棧溢出錯誤情況。攻擊者可能利用此漏洞繞過-dSAFER保護并使ghostscript崩潰,或者可能通過巧盡心思構建的PostScript文檔在ghostscript上下文中執行任意代碼。
·中標麒麟高級服務器操作系統 V7
aarch64架構:
ghostscript、ghostscript-cups、ghostscript-devel、ghostscript-doc、ghostscript-gtk
x86_64架構:
ghostscript、ghostscript-cups、ghostscript-devel、ghostscript-doc、ghostscript-gtk
·中標麒麟高級服務器操作系統 V7
ghostscript-9.07-31.el7
ghostscript-cups-9.07-31.el7
ghostscript-devel-9.07-31.el7
ghostscript-doc-9.07-31.el7
ghostscript-gtk-9.07-31.el7
方法一:配置源進行升級安裝
1. 打開軟件包源配置文件,根據倉庫地址進行修改。
倉庫源地址:
中標麒麟高級服務器操作系統 V7
aarch64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/
2. 配置完成后執行更新命令進行升級,命令如下:
yum update Packagename
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包,使用軟件包升級命令根據受影響的軟件包列表進行升級安裝,命令如下:
yum install Packagename
3. 升級完成后是否需要重啟服務或操作系統:
·CVE-2016-7977:無需重啟操作系統與服務即可使漏洞修復生效。
·CVE-2016-7978:無需重啟操作系統與服務即可使漏洞修復生效。
·CVE-2016-7979:無需重啟操作系統與服務即可使漏洞修復生效。
·CVE-2016-8602:無需重啟操作系統與服務即可使漏洞修復生效。
·CVE-2017-7207:無需重啟操作系統與服務即可使漏洞修復生效。
·CVE-2017-8291:無需重啟操作系統與服務即可使漏洞修復生效。
·CVE-2018-10194:無需重啟操作系統與服務即可使漏洞修復生效。
·CVE-2018-15910:無需重啟操作系統與服務即可使漏洞修復生效。
·CVE-2018-16509:無需重啟操作系統與服務即可使漏洞修復生效。
·CVE-2018-16542:無需重啟操作系統與服務即可使漏洞修復生效。
·中標麒麟高級服務器操作系統 V7
ghostscript(aarch64)軟件包下載地址:
ghostscript(x86_64)軟件包下載地址:
注:其他相關依賴包請到相同目錄下載
