• 安全漏洞

    安全漏洞補丁公告

    客戶服務門戶 技術服務 培訓服務 常見問題 產品試用申請 技術文檔下載 安全漏洞 系統更新 文檔中心
    當前位置  >  首頁  >  服務支持  >  安全漏洞  >  安全漏洞補丁公告

    公告ID(KYSA-202101-0038

    摘要:ghostscript安全漏洞 安全等級:重要 公告ID:KYSA-202101-0038 發布日期:2022-01-24 影響CVE:CVE-2020-27842、CVE-2020-27845、CVE-2020-27814、CVE-2020-27841、CVE-2020-6851、CVE-2020-27824、CVE-2020-27843、CVE-2020-8112、CVE-2018-5727

    詳細介紹

    1. 修復的CVE
          CVE-2020-27842
          OpenJPEG是一款基于C語言的開源JPEG2000編碼解碼器。
          OpenJPEG 存在緩沖區錯誤漏洞,攻擊者可利用該漏洞可以通過opj_tgt_reset函數強制取消對空指針的引用,以觸發拒絕服務。
          CVE-2020-27845
          OpenJPEG是一款基于C語言的開源JPEG2000編碼解碼器。
          OpenJPEG 存在緩沖區錯誤漏洞,攻擊者可利用該漏洞可以通過opj_pi_next_rlcp觸發緩沖區溢出,以觸發拒絕服務,并可能運行代碼。
          CVE-2020-27814
          OpenJPEG是一款基于C語言的開源JPEG2000編碼解碼器。
          OpenJPEG 2.3.1存在代碼問題漏洞,該漏洞源于lib /openjp2/mqc.c中發現了堆緩沖區覆蓋錯誤,導致越界寫入。攻擊者利用該漏洞導致遠程拒絕服務或遠程執行代碼。
          CVE-2020-27841
          OpenJPEG是一款基于C語言的開源JPEG2000編碼解碼器。
          OpenJPEG 存在緩沖區錯誤漏洞,攻擊者可利用該漏洞通過lib/openjp2/pi.c觸發緩沖區溢出,以觸發拒絕服務,并可能運行代碼。
          CVE-2020-6851
          OpenJPEG是一款基于C語言的開源JPEG2000編碼解碼器。
          OpenJPEG 2.3.1及之前版本中的openjp2/t1.c文件的‘opj_t1_clbl_decode_processor’函數存在緩沖區錯誤漏洞,該漏洞源于對opj_j2k_update_image_dimensions缺少驗證。遠程攻擊者可利用該漏洞導致應用程序崩潰。
          CVE-2020-27824
          OpenJPEG是一款基于C語言的開源JPEG2000編碼解碼器。
          OpenJPEG 存在緩沖區錯誤漏洞,該漏洞源于opj_dwt_calc_explicit_stepsizes函數。攻擊者可利用該漏洞可以通過opj dwt計算OpenJPEG的顯式stepsizes()來觸發緩沖區溢出,以觸發拒絕服務,并可能運行代碼。
          CVE-2020-27843
          OpenJPEG是一款基于C語言的開源JPEG2000編碼解碼器。
          OpenJPEG 2.4.0存在緩沖區錯誤漏洞,該漏洞源于opj_t2_encode_packet。攻擊者可利用該漏洞可以強制讀取無效地址,以觸發拒絕服務,或獲取敏感信息。
          CVE-2020-8112
          OpenJPEG是一款基于C語言的開源JPEG2000編碼解碼器。
          OpenJPEG 2.3.1版本中openjp2/t1.c文件中的opj_t1_clbl_decode_processor存在緩沖區錯誤漏洞,該漏洞源于程序沒有正確檢查邊界。遠程攻擊者可借助特制文件利用該漏洞在系統上執行任意代碼,或者導致應用程序崩潰。
          CVE-2018-5727
          OpenJPEG是一款基于C語言的開源JPEG 2000編碼解碼器。
          OpenJPEG 2.3.0版本中的openjp2/t1.c文件的‘opj_t1_encode_cblks’函數存在整數溢出漏洞。遠程攻擊者可借助特制的bmp文件利用該漏洞造成拒絕服務。


    2. 影響的操作系統
          銀河麒麟桌面操作系統V4 SP1
          銀河麒麟桌面操作系統V4 SP2
          銀河麒麟桌面操作系統V4 SP3
          銀河麒麟桌面操作系統V4 SP4
          銀河麒麟服務器操作系統V4 SP1
          銀河麒麟服務器操作系統V4 SP2
          銀河麒麟服務器操作系統V4 SP3
          銀河麒麟服務器操作系統V4 SP4
          銀河麒麟桌面操作系統V10


    3. 修復版本
          軟件包:ghostscript
          9.26~dfsg+0-0kord0.16.04.14(V4、V10)


    4. 受影響的軟件包
          ·銀河麒麟操作系統V10桌面版、V4
          ghostscript-dbg
          ghostscript-doc
          ghostscript-x
          ghostscript
          libgs-dev
          libgs9-common
          libgs9
          

    5. 修復方法
      方法一:配置源進行升級安裝
      打開軟件包源配置文件,根據倉庫地址進行修改。
      4.0.2-sp1:
      http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse
      4.0.2-sp2:
      http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse
      4.0.2-sp3:
      http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse
      4.0.2-sp4:
      http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse
      10.0:
      http://archive.kylinos.cn/kylin/KYLIN-ALL 10.0 main restricted universe multiverse
      10.0 SP1:
      http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1 main restricted universe multiverse
      配置完成后執行更新命令進行升級
      $sudo apt update
      方法二:下載安裝包進行升級安裝
      通過軟件包地址下載軟件包,使用軟件包升級命令根據受影響的組件包列表 升級相關的組件包。
      $dpkg -i Packagelists


    6. 軟件包下載地址
      銀河麒麟操作系統V10桌面版、V4
      X86_64軟件包下載地址
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript-dbg_9.26~dfsg%2B0-0kord0.16.04.14_amd64.deb
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript-doc_9.26~dfsg%2B0-0kord0.16.04.14_all.deb
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript-x_9.26~dfsg%2B0-0kord0.16.04.14_amd64.deb
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript_9.26~dfsg%2B0-0kord0.16.04.14_amd64.deb
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/libgs-dev_9.26~dfsg%2B0-0kord0.16.04.14_amd64.deb
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/libgs9-common_9.26~dfsg%2B0-0kord0.16.04.14_all.deb
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/libgs9_9.26~dfsg%2B0-0kord0.16.04.14_amd64.deb
      arm64軟件包下載地址
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript-dbg_9.26~dfsg%2B0-0kord0.16.04.14_arm64.deb
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript-doc_9.26~dfsg%2B0-0kord0.16.04.14_all.deb
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript-x_9.26~dfsg%2B0-0kord0.16.04.14_arm64.deb
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript_9.26~dfsg%2B0-0kord0.16.04.14_arm64.deb
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/libgs-dev_9.26~dfsg%2B0-0kord0.16.04.14_arm64.deb
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/libgs9-common_9.26~dfsg%2B0-0kord0.16.04.14_all.deb
      http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/libgs9_9.26~dfsg%2B0-0kord0.16.04.14_arm64.deb


    上一篇: KYSA-202101-0037 下一篇: KYSA-202101-0039

    服務熱線

    400-089-1870

    版權所有 麒麟軟件有限公司 Copyright 2020. kylinos.cn. All Rights Reserved. 網站備案號: 津ICP備15002470號-1  

    試用

    服務

    動態

    聯系
    公啊灬啊灬啊灬快灬深用力视频