2018-1891: Ghostscript: Mehrere Schwachstellen ermöglichen u.a. Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2018-09-19 14:08)
- Neues Advisory
- Version 2 (2018-10-04 13:01)
- Für SUSE OpenStack Cloud 7 sowie die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3, Server for SAP 12 SP2, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 LTSS und 12 SP3, Desktop 12 SP3, Storage 4, Module for Desktop Applications 15 und Module for Basesystem 15 stehen Sicherheitsupdates für 'ghostscript' auf Version 9.25 bereit, welche nicht die Schwachstelle CVE-2018-11645, dafür aber die Schwachstelle CVE-2018-17183 adressieren, die dem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes ermöglicht.
- Version 3 (2018-10-08 13:14)
- Für openSUSE Leap 42.3 und 15.0 stehen Sicherheitsupdates für 'ghostscript' auf Version 9.25 bereit, welche ebenfalls nicht die Schwachstelle CVE-2018-11645 adressieren.
- Version 4 (2018-10-19 14:59)
- SUSE stellt für SUSE Linux Enterprise Server 12 SP2 BCL ein Sicherheitsupdate zur Behebung der Schwachstellen zur Verfügung. Die Schwachstelle CVE-2018-11645 wird nicht adressiert.
- Version 5 (2019-04-29 15:26)
- SUSE veröffentlicht für SUSE Linux Enterprise Server for SAP 12 SP1 ein Sicherheitsupdate auf die Ghostscript Version 9.25 zur Behebung der referenzierten Schwachstellen mit Ausnahme der CVE-2018-11645, die in der Sicherheitsmeldung nicht aufgeführt wird. Zeitgleich veröffentlicht SUSE allerdings auch ein Sicherheitsupdate auf die Ghostscript Version 9.26 (extra Meldung, Update SUSE-SU-2018:4090-2) mit der weitere Schwachstellen behoben werden.
Betroffene Software
Office
Betroffene Plattformen
Netzwerk
Cloud
Linux
Beschreibung:
Ein zumeist entfernter, nicht authentisierter Angreifer kann mit Hilfe speziell präparierter PostScript-Dateien beliebigen Programmcode mit den Rechten des Dienstes ausführen, Informationen ausspähen, Dateien manipulieren und weiteren Einfluss auf betroffene Systeme nehmen (Type Confusion, Memory Corruptions), wodurch u. a. Denial-of-Service (DoS)-Angriffe ermöglicht werden.
Für Ubuntu 18.04 LTS, 16.04 LTS und 14.04 LTS stehen Sicherheitsupdates für 'ghostscript' zur Verfügung.
Schwachstellen:
CVE-2018-11645
Schwachstelle in Artifex Ghostscript ermöglicht Ausspähen von InformationenCVE-2018-15908
Schwachstelle in Artifex Ghostscript ermöglicht Ausführen beliebigen ProgrammcodesCVE-2018-15909
Schwachstelle in Artifex Ghostscript ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-15910
Schwachstelle in Artifex Ghostscript ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-15911
Schwachstelle in Artifex Ghostscript ermöglicht Ausführen beliebigen ProgrammcodesCVE-2018-16509
Schwachstelle in Artifex Ghostscript ermöglicht Ausführen beliebigen ProgrammcodesCVE-2018-16510
Schwachstelle in Artifex Ghostscript ermöglicht Denial-of-Service-AngriffCVE-2018-16511
Schwachstelle in Artifex Ghostscript ermöglicht Denial-of-Service-AngriffCVE-2018-16513
Schwachstelle in Artifex Ghostscript ermöglicht Denial-of-Service-AngriffCVE-2018-16539
Schwachstelle in Artifex Ghostscript ermöglicht Ausspähen von InformationenCVE-2018-16540
Schwachstelle in Artifex Ghostscript ermöglicht Denial-of-Service-AngriffCVE-2018-16541
Schwachstelle in Artifex Ghostscript ermöglicht Denial-of-Service-AngriffCVE-2018-16542
Schwachstelle in Artifex Ghostscript ermöglicht Denial-of-Service-AngriffCVE-2018-16543
Schwachstelle in Artifex Ghostscript ermöglicht nicht weiter spezifizierte AngriffeCVE-2018-16585
Schwachstelle in Artifex Ghostscript ermöglicht u. a. Denial-of-Service-AngriffCVE-2018-16802
Schwachstelle in Artifex Ghostscript ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-17183
Schwachstelle in Artifex Ghostscript ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.