DFN-CERT

Advisory-Archiv

2019-0574: Ghostscript: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-03-22 12:46)
Neues Advisory
Version 2 (2019-03-25 11:56)
Fedora stellt für Fedora 28 und 29 Sicherheitsupdates in Form von 'ghostscript-9.26-4'-Paketen im Status 'testing' bereit, um die beiden referenzierten Schwachstellen zu beheben. Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3 und 12 SP4, Server for SAP 12 SP1 und 12 SP2, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 BCL, 12 SP2 LTSS, 12 SP3 und 12 SP4, Desktop 12 SP3 und 12 SP4 sowie SUSE Enterprise Storage 4, SUSE OpenStack Cloud 7, SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 und SUSE Linux Enterprise Module for Basesystem 15 stehen Sicherheitsupdates für 'ghostscript' bereit, welche die Schwachstelle CVE-2019-3838 beheben.
Version 3 (2019-04-03 12:58)
Für openSUSE Leap 42.3 und openSUSE Leap 15.0 stehen Sicherheitsupdates für 'ghostscript' bereit, welche die Schwachstelle CVE-2019-3838 beheben.
Version 4 (2019-04-17 12:08)
Für Debian Stretch (stable) steht ein Sicherheitsupdate bereit, mit dem die beiden Schwachstellen in 'ghostscript' behoben werden.
Version 5 (2019-04-23 16:17)
Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate von 'ghostscript' zur Verfügung.
Version 6 (2019-08-28 18:44)
Für SUSE Linux Enterprise Server 11 SP4 LTSS sowie SUSE Linux Enterprise Debuginfo 11 SP3 und 11 SP4 stehen Sicherheitsupdates für 'ghostscript' bereit, welche die Schwachstelle CVE-2019-3838 beheben.

Betroffene Software

Office

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen oder einen Denial-of-Service (DoS)-Angriff auszuführen.

Canonical stellt für Ubuntu 14.04 LTS, Ubuntu 16.04 LTS, Ubuntu 18.04 LTS und Ubuntu 18.10 Sicherheitsupdates für Ghostscript bereit, um diese Schwachstellen zu beheben.
Red Hat bietet für die Red Hat Linux 7 Varianten Server, Workstation, Desktop, for Scientific Computing, for ARM sowie für Server EUS 7.6, Server AUS 7.6, Server TUS 7.6 und EUS Compute Node 7.6 Sicherheitsupdates in Form des Paketes 'ghostscript-9.07-31' an. Oracle bietet ebenfalls ein Sicherheitsupdate für Oracle Linux 7 an, um die Schwachstellen zu schließen.

Schwachstellen:

CVE-2019-3835

Schwachstelle in Ghostscript ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-3838

Schwachstelle in Ghostscript ermöglicht u. a. Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.