Ghostscript 代码执行漏洞安全风险通告

点击上方蓝字关注我们！

近日，嘉诚安全监测到Ghostscript官方更新最新版本，修复了一个代码执行漏洞，该漏洞细节和PoC已在互联网上公开，漏洞编号为：CNNVD-202306-1808（CVE-2023-36664）。

Ghostscript是PostScript语言和PDF文件的开源解释器，许多Linux发行版中默认安装Ghostscript，并被 LibreOffice、GIMP、Inkscape、Scribus、ImageMagick 和 CUPS 打印系统等软件使用。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

经研判，该漏洞为高危漏洞。该漏洞源于Ghostscript 中的gp_file_name_reduce()函数，由于对管道设备（带有 %pipe% 或 | 管道字符前缀）的权限验证处理不当，处理特制文件时可能导致代码执行。

影响版本：

Ghostscript/GhostPDL版本 < 10.01.2

根据影响版本中的信息，建议相关用户尽快更新至安全版本，即Ghostscript/GhostPDL版本10.01.2，Linux 用户可使用其发行版的包管理器升级到Ghostscript最新版本。

下载链接请参考：

https://www.ghostscript.com/releases/index.html