·CVE-2016-7977
描述:我们发现ghostscript function.libfile不支持-dSAFER选项,该选项通常在处理不可信的文档时使用,从而导致信息泄露。精心构建的postscript文档可以在gs进程的上下文中检索目标计算机上的文件内容。
·CVE-2016-7978
描述:发现ghostscript函数.setdevice由于引用计数不正确而遭受释放后使用漏洞。精心构建的postscript文档可以触发gs进程上下文中的代码执行。
·CVE-2016-7979
描述:发现ghostscript函数.initialize_dsc_parser在使用它之前没有验证其参数,从而导致类型混淆缺陷。巧尽心思构建的postscript文档可能会导致gs进程上下文中的崩溃代码执行。
·CVE-2016-8602
描述:发现ghostscript没有充分检查给.sethalftone5函数的参数的有效性。一个精心编制的postgs脚本可能会在一个精心编制的文档上下文中执行。
·CVE-2017-7207
描述:在ghostscript的mem_get_bits_rectangle函数中发现空指针取消引用缺陷。巧尽心思构建的postscript文档可能会导致gs进程上下文中的崩溃。
·CVE-2017-8291
描述:发现ghostscript没有正确验证传递给.rsdparams和.eqproc函数的参数。在执行期间,巧尽心思构建的PostScript文档可以在ghostscript进程的上下文中执行代码,从而绕过-dSAFER保护。
·CVE-2018-10194
描述:Artifex Ghostscript到9.22版本的pdfwrite组件中devices/vector/gdevpdts.c中的set_text_distance函数无法防止文本定位计算中的溢出,远程攻击者可借助特制的PDF文档造成拒绝服务(应用程序崩溃)或可能产生其他未指明的影响。
·CVE-2018-15910
描述:发现LockDistillerParams参数的类型未正确验证。攻击者可能会利用此漏洞绕过-dSAFER保护并崩溃虚脚本,或者可能通过特制的PostScript文档在虚脚本上下文中执行任意代码。
·CVE-2018-16509
描述:发现RHSA-2018:2918没有完全修复CVE-2018-16509。攻击者可能利用该漏洞的另一个变体,并绕过-dSAFER保护,例如,通过巧尽心思构建的PostScript文档执行任意shell命令。
·CVE-2018-16542
描述:我们发现ghostscript没有正确处理某些堆栈溢出错误情况。攻击者可能利用此漏洞绕过-dSAFER保护并使ghostscript崩溃,或者可能通过巧尽心思构建的PostScript文档在ghostscript上下文中执行任意代码。
·中标麒麟高级服务器操作系统 V7
aarch64架构:
ghostscript、ghostscript-cups、ghostscript-devel、ghostscript-doc、ghostscript-gtk
x86_64架构:
ghostscript、ghostscript-cups、ghostscript-devel、ghostscript-doc、ghostscript-gtk
·中标麒麟高级服务器操作系统 V7
ghostscript-9.07-31.el7
ghostscript-cups-9.07-31.el7
ghostscript-devel-9.07-31.el7
ghostscript-doc-9.07-31.el7
ghostscript-gtk-9.07-31.el7
方法一:配置源进行升级安装
1. 打开软件包源配置文件,根据仓库地址进行修改。
仓库源地址:
中标麒麟高级服务器操作系统 V7
aarch64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/
2. 配置完成后执行更新命令进行升级,命令如下:
yum update Packagename
方法二:下载安装包进行升级安装
通过软件包地址下载软件包,使用软件包升级命令根据受影响的软件包列表进行升级安装,命令如下:
yum install Packagename
3. 升级完成后是否需要重启服务或操作系统:
·CVE-2016-7977:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2016-7978:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2016-7979:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2016-8602:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2017-7207:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2017-8291:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2018-10194:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2018-15910:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2018-16509:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2018-16542:无需重启操作系统与服务即可使漏洞修复生效。
·中标麒麟高级服务器操作系统 V7
ghostscript(aarch64)软件包下载地址:
ghostscript(x86_64)软件包下载地址:
注:其他相关依赖包请到相同目录下载
