安全漏洞

安全漏洞补丁公告

当前位置  >  首页  >  服务支持  >  安全漏洞  >  安全漏洞补丁公告

公告ID(KYSA-202101-0038

摘要:ghostscript安全漏洞 安全等级:重要 公告ID:KYSA-202101-0038 发布日期:2022-01-24 影响CVE:CVE-2020-27842、CVE-2020-27845、CVE-2020-27814、CVE-2020-27841、CVE-2020-6851、CVE-2020-27824、CVE-2020-27843、CVE-2020-8112、CVE-2018-5727

详细介绍

  1. 修复的CVE
        CVE-2020-27842
        OpenJPEG是一款基于C语言的开源JPEG2000编码解码器。
        OpenJPEG 存在缓冲区错误漏洞,攻击者可利用该漏洞可以通过opj_tgt_reset函数强制取消对空指针的引用,以触发拒绝服务。
        CVE-2020-27845
        OpenJPEG是一款基于C语言的开源JPEG2000编码解码器。
        OpenJPEG 存在缓冲区错误漏洞,攻击者可利用该漏洞可以通过opj_pi_next_rlcp触发缓冲区溢出,以触发拒绝服务,并可能运行代码。
        CVE-2020-27814
        OpenJPEG是一款基于C语言的开源JPEG2000编码解码器。
        OpenJPEG 2.3.1存在代码问题漏洞,该漏洞源于lib /openjp2/mqc.c中发现了堆缓冲区覆盖错误,导致越界写入。攻击者利用该漏洞导致远程拒绝服务或远程执行代码。
        CVE-2020-27841
        OpenJPEG是一款基于C语言的开源JPEG2000编码解码器。
        OpenJPEG 存在缓冲区错误漏洞,攻击者可利用该漏洞通过lib/openjp2/pi.c触发缓冲区溢出,以触发拒绝服务,并可能运行代码。
        CVE-2020-6851
        OpenJPEG是一款基于C语言的开源JPEG2000编码解码器。
        OpenJPEG 2.3.1及之前版本中的openjp2/t1.c文件的‘opj_t1_clbl_decode_processor’函数存在缓冲区错误漏洞,该漏洞源于对opj_j2k_update_image_dimensions缺少验证。远程攻击者可利用该漏洞导致应用程序崩溃。
        CVE-2020-27824
        OpenJPEG是一款基于C语言的开源JPEG2000编码解码器。
        OpenJPEG 存在缓冲区错误漏洞,该漏洞源于opj_dwt_calc_explicit_stepsizes函数。攻击者可利用该漏洞可以通过opj dwt计算OpenJPEG的显式stepsizes()来触发缓冲区溢出,以触发拒绝服务,并可能运行代码。
        CVE-2020-27843
        OpenJPEG是一款基于C语言的开源JPEG2000编码解码器。
        OpenJPEG 2.4.0存在缓冲区错误漏洞,该漏洞源于opj_t2_encode_packet。攻击者可利用该漏洞可以强制读取无效地址,以触发拒绝服务,或获取敏感信息。
        CVE-2020-8112
        OpenJPEG是一款基于C语言的开源JPEG2000编码解码器。
        OpenJPEG 2.3.1版本中openjp2/t1.c文件中的opj_t1_clbl_decode_processor存在缓冲区错误漏洞,该漏洞源于程序没有正确检查边界。远程攻击者可借助特制文件利用该漏洞在系统上执行任意代码,或者导致应用程序崩溃。
        CVE-2018-5727
        OpenJPEG是一款基于C语言的开源JPEG 2000编码解码器。
        OpenJPEG 2.3.0版本中的openjp2/t1.c文件的‘opj_t1_encode_cblks’函数存在整数溢出漏洞。远程攻击者可借助特制的bmp文件利用该漏洞造成拒绝服务。


  2. 影响的操作系统
        银河麒麟桌面操作系统V4 SP1
        银河麒麟桌面操作系统V4 SP2
        银河麒麟桌面操作系统V4 SP3
        银河麒麟桌面操作系统V4 SP4
        银河麒麟服务器操作系统V4 SP1
        银河麒麟服务器操作系统V4 SP2
        银河麒麟服务器操作系统V4 SP3
        银河麒麟服务器操作系统V4 SP4
        银河麒麟桌面操作系统V10


  3. 修复版本
        软件包:ghostscript
        9.26~dfsg+0-0kord0.16.04.14(V4、V10)


  4. 受影响的软件包
        ·银河麒麟操作系统V10桌面版、V4
        ghostscript-dbg
        ghostscript-doc
        ghostscript-x
        ghostscript
        libgs-dev
        libgs9-common
        libgs9
        

  5. 修复方法
    方法一:配置源进行升级安装
    打开软件包源配置文件,根据仓库地址进行修改。
    4.0.2-sp1:
    http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse
    4.0.2-sp2:
    http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse
    4.0.2-sp3:
    http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse
    4.0.2-sp4:
    http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse
    10.0:
    http://archive.kylinos.cn/kylin/KYLIN-ALL 10.0 main restricted universe multiverse
    10.0 SP1:
    http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1 main restricted universe multiverse
    配置完成后执行更新命令进行升级
    $sudo apt update
    方法二:下载安装包进行升级安装
    通过软件包地址下载软件包,使用软件包升级命令根据受影响的组件包列表 升级相关的组件包。
    $dpkg -i Packagelists


  6. 软件包下载地址
    银河麒麟操作系统V10桌面版、V4
    X86_64软件包下载地址
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript-dbg_9.26~dfsg%2B0-0kord0.16.04.14_amd64.deb
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript-doc_9.26~dfsg%2B0-0kord0.16.04.14_all.deb
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript-x_9.26~dfsg%2B0-0kord0.16.04.14_amd64.deb
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript_9.26~dfsg%2B0-0kord0.16.04.14_amd64.deb
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/libgs-dev_9.26~dfsg%2B0-0kord0.16.04.14_amd64.deb
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/libgs9-common_9.26~dfsg%2B0-0kord0.16.04.14_all.deb
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/libgs9_9.26~dfsg%2B0-0kord0.16.04.14_amd64.deb
    arm64软件包下载地址
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript-dbg_9.26~dfsg%2B0-0kord0.16.04.14_arm64.deb
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript-doc_9.26~dfsg%2B0-0kord0.16.04.14_all.deb
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript-x_9.26~dfsg%2B0-0kord0.16.04.14_arm64.deb
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/ghostscript_9.26~dfsg%2B0-0kord0.16.04.14_arm64.deb
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/libgs-dev_9.26~dfsg%2B0-0kord0.16.04.14_arm64.deb
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/libgs9-common_9.26~dfsg%2B0-0kord0.16.04.14_all.deb
    http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/g/ghostscript/libgs9_9.26~dfsg%2B0-0kord0.16.04.14_arm64.deb


上一篇: KYSA-202101-0037 下一篇: KYSA-202101-0039

试用

服务

动态

联系