Projet

Général

Profil

Anomalie #26410

20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 (Ghostscript)

Ajouté par Sarah BAZIN il y a 8 mois. Mis à jour il y a 6 mois.

Statut:
R&D - Terminé
Priorité:
0-Bloquant
Assigné à:
Jean-Laurent DUZANT
Version cible:
20.03 TMA2
Début:
29/08/2023
Echéance:
24/10/2023
Version applicable MC:
20.03 TMA
Tags Courrier:

Description

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0542/

Demandes liées

Lié à Backlog Courrier - Anomalie #26369: 20.03 - Vulnérabilités dans open ssl CERTFR-2023-AVI-0571 CERTFR-2023-AVI-0605Résolu2023-08-042023-12-04

Historique

#3 Mis à jour par Emmanuel DILLARD il y a 8 mois

  • Sujet changé de 20.03 - Analyse Vulnérabilité à 20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542
  • Description mis à jour (diff)
  • Statut changé de A qualifier à R&D - A étudier
  • Assigné à changé de Sarah BAZIN à Emmanuel DILLARD
  • Début changé de 02/10/2023 à 29/08/2023
  • Version applicable MC mis à 20.03 TMA

#4 Mis à jour par Emmanuel DILLARD il y a 8 mois

  • Statut changé de R&D - A étudier à A traiter

#5 Mis à jour par Emmanuel DILLARD il y a 8 mois

  • Statut changé de A traiter à R&D - A planifier
  • Priorité changé de 3-Mineur à 2-Sérieux

#6 Mis à jour par Emmanuel DILLARD il y a 7 mois

  • Echéance mis à 05/12/2023

#7 Mis à jour par Emmanuel DILLARD il y a 7 mois

  • Priorité changé de 2-Sérieux à 1-Majeur

#8 Mis à jour par Emmanuel DILLARD il y a 7 mois

  • Lié à Anomalie #26369: 20.03 - Vulnérabilités dans open ssl CERTFR-2023-AVI-0571 CERTFR-2023-AVI-0605 ajouté

#9 Mis à jour par Emmanuel DILLARD il y a 7 mois

  • Priorité changé de 1-Majeur à 0-Bloquant

#10 Mis à jour par Emmanuel DILLARD il y a 7 mois

  • Echéance changé de 05/12/2023 à 24/10/2023
  • Statut changé de R&D - A planifier à R&D - En cours

#12 Mis à jour par Emmanuel DILLARD il y a 7 mois

  • Assigné à Emmanuel DILLARD supprimé

#13 Mis à jour par Jean-Laurent DUZANT il y a 6 mois

  • Assigné à mis à Jean-Laurent DUZANT

#14 Mis à jour par Jean-Laurent DUZANT il y a 6 mois

Voici notre analyse suite à la demande de la vulnérabilité CERTFR-2023-AVI-0542.

A. Périmètre

Maarch Courrier 20.03 utilise Ghostscript pour :

  • la génération des imagettes
  • la génération de PDF à partir du HTML

B. Impacts

Ghostscript est une suite logicielle permettant le traitement des formats de fichiers PostScript et PDF.

D'après l'avis du CERTFR-2023-AVI-0542, les environnements qui ont la version inférieur de 10.0.0 son sujets à un risque d'exécution de code arbitraire à distance en utilisant la commande Ghostscript.
Ghostscript, l'interpréteur PostScript et PDF sous GPL, ne gérait pas correctement la validation des permissions validation des périphériques tubes, ce qui peut avoir pour conséquence l'exécution de commandes arbitraires lors du traitement de fichiers de document mal formés.

C. Résolution

En consultant le package Ghostscript sur les systèmes Debian et Ubuntu, nous vous recommandons de mettre à jour le paquet Ghostscript à la version 9.55.0 afin de bénéficier du correctif.

Sources
https://www.debian.org/security/2023/dsa-5446
https://launchpad.net/ubuntu/+source/ghostscript/9.55.0~dfsg1-0ubuntu5.3

#15 Mis à jour par Jean-Laurent DUZANT il y a 6 mois

  • Statut changé de R&D - En cours à R&D - En test

#16 Mis à jour par Emmanuel DILLARD il y a 6 mois

  • Statut changé de R&D - En test à R&D - Terminé

#17 Mis à jour par Emmanuel DILLARD il y a 6 mois

  • Sujet changé de 20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 à 20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 (Ghostscript)

Formats disponibles : Atom PDF