DFN-CERT

Advisory-Archiv

2019-0167: Ghostscript: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2019-01-24 14:20)
Neues Advisory
Version 2 (2019-01-28 11:05)
Für Debian Stretch (stable) steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'ghostscript' behoben wird.
Version 3 (2019-01-31 16:52)
Für openSUSE Leap 42.3 und openSUSE Leap 15.0 stehen Sicherheitsupdates auf die Version 9.26a von 'ghostscript' bereit.
Version 4 (2019-02-11 12:19)
Für Debian Jessie (LTS) steht ein Sicherheitsupdate zur Behebung der Schwachstelle bereit.
Version 5 (2019-02-22 10:38)
Canonical informiert mittels der Meldung USN-3866-2 darüber, dass das zuvor veröffentlichte Sicherheitsupdate USN-3866-1 eine Regression beim Drucken bestimmter Seitengrößen eingeführt hat. Die jetzt zur Verfügung gestellten Pakete adressieren das Problem.
Version 6 (2019-02-27 12:31)
Canonical stellt erneut aktualisierte Pakete zur Verfügung, um eine Regression zu beheben. Diese Regression wurde mit der Behebung der ersten Regression, zugehörige Meldung USN-3866-2, eingeführt und hat zur Folge, dass beim Drucken bestimmter Seiten dies mit einem blauen Hintergrund erfolgt. Die neuen Pakete sollen diesen Fehler beheben.
Version 7 (2019-03-11 12:36)
Für Fedora 28 und 29 stehen Sicherheitsupdates in Form der Pakete 'ghostscript-9.26-2.fc28' und 'ghostscript-9.26-2.fc29' im Status 'testing' bereit, um diese Schwachstelle zu beheben.
Version 8 (2019-03-12 14:32)
Für Fedora 28 und 29 stehen die aktualisierten Pakete 'ghostscript-9.26-3.fc28' und 'ghostscript-9.26-3.fc29' im Status 'testing' bereit, um diese Schwachstelle und einen zusätzlichen Fehler zu beheben (Referenzen aktualisiert).
Version 9 (2019-04-15 12:33)
Für SUSE Linux Enterprise Server for SAP 12 SP1 steht ein Sicherheitsupdate auf die Ghostscript Version 9.26a zur Verfügung, mit dem die referenzierte Schwachstelle behoben wird.

Betroffene Software

Office

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell präparierter PostScript-Dateien Programmcode einschleusen und zur Ausführung bringen.

Für SUSE Linux Enterprise Module for Open Buildservice Development Tools 15, for Desktop Applications 15 und for Basesystem 15, SUSE Linux Enterprise Software Development Kit 12 SP3 und 12 SP4, SUSE Linux Enterprise Server for SAP 12 SP2, SUSE Linux Enterprise Server 12 LTSS, 12 SP1 LTSS, 12 SP2 BCL, 12 SP2 LTSS, 12 SP3 und 12 SP4 sowie SUSE Linux Enterprise Desktop 12 SP3 und 12 SP4 stehen Sicherheitsupdates auf die Version 9.26a von 'ghostscript' bereit.

Canonical stellt für Ubuntu 18.10, Ubuntu 18.04 LTS, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates für 'ghostscript' zur Verfügung.

Schwachstellen:

CVE-2019-6116

Schwachstelle in Ghostscript ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.