2018-2463: Ghostscript: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2018-12-04 11:50): Neues Advisory
Version 2 (2018-12-06 18:44): Für Oracle VM 3.3 und Oracle VM 3.4 stehen Sicherheitsupdates bereit, um die Schwachstelle CVE-2018-16509 in Ghostscript zu beheben.

Betroffene Software

Office

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann vermutlich den '-dSAFER'-Schutzmechanismus aufgrund der Schwachstelle CVE-2018-16863 umgehen und mit Hilfe einer speziell manipulierten PostScript-Datei beliebige Shell-Kommandos zur Ausführung bringen.

Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produktvarianten Server, for ARM, for Scientific Computing, Workstation und Desktop, für Server AUS, EUS und TUS 7.6 sowie EUS Compute Node 7.6 Sicherheitsupdates für 'ghostscript', um die Schwachstelle zu beheben. Oracle stellt für Oracle Linux 7 (x86_64) ein Sicherheitsupdate zur Verfügung.

Auch für Oracle Linux 6 (i386, x86_64) und die Red Hat Enterprise Linux 6 Produkte Server, Workstation, Desktop und for Scientific Computing stehen Sicherheitsupdates für Ghostscript zur Verfügung. Diese referenzieren die neue Schwachstelle CVE-2018-16863 nicht, sondern nur die ursprüngliche Schwachstelle CVE-2018-16509. Zumindest in der Oracle Sicherheitsmeldung wird allerdings von fehlenden Teilen in dem Sicherheitsupdate für die Schwachstelle CVE-2018-16509 gesprochen, was die Vermutung erlaubt, dass diese Sicherheitsupdates auch die Korrekturen für die Schwachstelle CVE-2018-16863 umfassen.

Schwachstellen:

CVE-2018-16509

Schwachstelle in Artifex Ghostscript ermöglicht Ausführen beliebigen Programmcodes

CVE-2018-16863