一、漏洞详情
Ghostscript是PostScript语言和PDF文件的开源解释器,许多Linux发行版中默认安装Ghostscript,并被 LibreOffice、GIMP、Inkscape、Scribus、ImageMagick和CUPS打印系统等软件使用。
近日监测到Ghostscript代码执行漏洞(CVE-2023-36664),该漏洞源于Ghostscript 中的gp_file_name_reduce()函数,由于对管道设备(带有%pipe%或 | 管道字符前缀)的权限验证处理不当,处理特制文件时可能导致代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Ghostscript/GhostPDL版本 < 10.01.2
三、修复建议
目前该漏洞已经修复,受影响用户可升级到Ghostscript/GhostPDL版本10.01.2;Linux 用户可使用其发行版的包管理器升级到Ghostscript最新版本。
下载链接:https://www.ghostscript.com/releases/index.html
