发布日期：2019-08-27
更新日期：2019-08-30

受影响系统：

Ghostscript Ghostscript < commit f531552c99a04f003412f

不受影响系统：

Ghostscript Ghostscript >= commit f531552c99a04f003412

描述：

---

CVE(CAN) ID: CVE-2019-14813

ghostscript是Adobe Systems PostScript (PS)及Portable Document Format (PDF)页面描述语言的解释器。

Ghostscript 在实现上存在多个-dSAFER沙箱绕过漏洞，此漏洞源于setsystemparams未确保对.forceput的安全引用，可使攻击者通过特制的脚本，禁用-dSAFER保护，然后访问限制区域之外的文件系统并执行任意命令。

<*来源：Hiroki MATSUKUMA
  
  链接：https://www.openwall.com/lists/oss-security/2019/08/28/2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

用户可通过禁用Policy.xml中的ps、EPS、pdf及XPS编码器来实现对此漏洞的有效防护。

厂商补丁：

Ghostscript
-----------
当前官方暂未发布修复该漏洞的 release 版本，不过在Ghostscript commit f531552c99a04f003412f7a83d4661e927f88d40 及之后版本中已修复了该漏洞，可更新进行防护。

参考链接：

http://git.ghostscript.com/?p=ghostpdl.git;a=summary

浏览次数：1055
严重程度：0（网友投票）