Вопрос или проблема
В настоящее время существует несколько известных уязвимостей в безопасности Ghostscript:
-
CVE-2024-29510
-
CVE-2024-29506
-
CVE-2024-29507
-
CVE-2024-29508
-
CVE-2024-29509
-
CVE-2024-29510, см. https://nvd.nist.gov/vuln/detail/cve-2024-29510
-
CVE-2024-29511
Не исправлены в актуальных версиях Ubuntu? gs является частью CUPS и, следовательно, присутствует почти на каждом компьютере с Ubuntu. Это очень привлекательная цель для злоумышленников!
Смотрите, например:
- https://stackoverflow.com/questions/52998331/imagemagick-security-policy-pdf-blocking-conversion
- https://www.kb.cert.org/vuls/id/332928/
- https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-248889-1012.pdf?__blob=publicationFile&v=2
- https://tuxcare.com/blog/ghostscript-vulnerability-actively-exploited-in-attacks/
- https://securityaffairs.com/165449/hacking/ghostscript-vulnerability-cve-2024-29510.html
К сожалению, я не знаю много о компьютерной безопасности. Но то, что я прочитал, меня беспокоит, и я удивлён тем, что существующая версия 10.03.1 ещё не была распространена в общем доступе.
Я не знаю, почему вы не проверяете информацию, но из постов, на которые вы ссылаетесь, и всех перечисленных вами CVE, эти CVE и проблемы уже исправлены в Ubuntu.
В Ubuntu исправления безопасности, как правило, применяются как патчи к конкретным версиям, а не как полное обновление версии. Эти “кликбейтные” сайты, на которые вы ссылаетесь, не учитывают патчинг дистрибутивов в своем круге оценки.
При наличии CVE необходимо проверить Ubuntu CVE Tracker и найти соответствующий CVE, а затем проверить, исправлены ли пакеты. Поскольку Ghostscript является частью CUPS и основной категории, он получает обновления безопасности от команды безопасности.
На последний раз, когда я проверял, все CVE, которые вы перечислили, уже исправлены в поддерживаемых версиях Ubuntu. Поэтому “проблема” не существует, так как эти CVE уже исправлены.
Пожалуйста, не полагайтесь на сторонние сайты, чтобы узнать, исправлена ли какая-либо проблема или нет. Вместо этого более разумно будет провести должную осмотрительность и исследовать, доступны ли патчи для Ubuntu или вашего предпочтительного дистрибутива, что и является случаем для Ubuntu здесь.
Ответ или решение
На данный момент существует несколько известных уязвимостей безопасности в Ghostscript, включая CVE-2024-29506, CVE-2024-29507 и другие, которые вызывают серьезные опасения с точки зрения безопасности, особенно учитывая, что Ghostscript является частью CUPS, который установлен на большинстве систем Ubuntu. Это делает его привлекательной целью для злоумышленников.
Тем не менее, важно отметить, что многие из упомянутых CVE уже были устранены в Ubuntu. В Ubuntu исправления безопасности, как правило, вносятся в виде патчей для конкретных версий программного обеспечения, а не через полное обновление до новой версии. Это означает, что даже если на первый взгляд версия Ghostscript не обновилась до последней, это не обязательно означает, что уязвимости остаются неустранёнными.
Для проверки текущего состояния уязвимостей рекомендуется использовать Ubuntu CVE Tracker и искать конкретные CVE для получения информации о том, были ли исправления выпущены для соответствующих пакетов. Как оказалось, все перечисленные CVE уже были исправлены в поддерживаемых версиях Ubuntu. Это говорит о том, что фактические проблемы с безопасностью, о которых вы беспокоитесь, были успешно решены командой безопасности Ubuntu.
Следовательно, основной проблемой оказывается не столько уязвимость самого Ghostscript, сколько недопонимание процесса обновления и патчей в дистрибутивах Linux. Важно полагаться на официальные источники и проводить собственные исследования для получения актуальной информации о патчах безопасности, вместо того чтобы основывать свои выводы на сторонних информационных ресурсах.
Таким образом, резюме следующее: уязвимости, озвученные вами, уже были устранены в актуальных версиях Ubuntu, и не стоит беспокоиться о безопасности Ghostscript в данном контексте.