Anomalie #26410
20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 (Ghostscript)
Demandes liées
Historique
#3 Mis à jour par Emmanuel DILLARD il y a 8 mois
- Sujet changé de 20.03 - Analyse Vulnérabilité à 20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542
- Description mis à jour (diff)
- Statut changé de A qualifier à R&D - A étudier
- Assigné à changé de Sarah BAZIN à Emmanuel DILLARD
- Début changé de 02/10/2023 à 29/08/2023
- Version applicable MC mis à 20.03 TMA
#4 Mis à jour par Emmanuel DILLARD il y a 8 mois
- Statut changé de R&D - A étudier à A traiter
#5 Mis à jour par Emmanuel DILLARD il y a 8 mois
- Statut changé de A traiter à R&D - A planifier
- Priorité changé de 3-Mineur à 2-Sérieux
#6 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Echéance mis à 05/12/2023
#7 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Priorité changé de 2-Sérieux à 1-Majeur
#8 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Lié à Anomalie #26369: 20.03 - Vulnérabilités dans open ssl CERTFR-2023-AVI-0571 CERTFR-2023-AVI-0605 ajouté
#9 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Priorité changé de 1-Majeur à 0-Bloquant
#10 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Echéance changé de 05/12/2023 à 24/10/2023
- Statut changé de R&D - A planifier à R&D - En cours
#12 Mis à jour par Emmanuel DILLARD il y a 7 mois
- Assigné à
Emmanuel DILLARDsupprimé
#13 Mis à jour par Jean-Laurent DUZANT il y a 6 mois
- Assigné à mis à Jean-Laurent DUZANT
#14 Mis à jour par Jean-Laurent DUZANT il y a 6 mois
Voici notre analyse suite à la demande de la vulnérabilité CERTFR-2023-AVI-0542.
A. Périmètre
Maarch Courrier 20.03 utilise Ghostscript pour :
- la génération des imagettes
- la génération de PDF à partir du HTML
B. Impacts
Ghostscript est une suite logicielle permettant le traitement des formats de fichiers PostScript et PDF.
D'après l'avis du CERTFR-2023-AVI-0542, les environnements qui ont la version inférieur de 10.0.0 son sujets à un risque d'exécution de code arbitraire à distance en utilisant la commande Ghostscript.
Ghostscript, l'interpréteur PostScript et PDF sous GPL, ne gérait pas correctement la validation des permissions validation des périphériques tubes, ce qui peut avoir pour conséquence l'exécution de commandes arbitraires lors du traitement de fichiers de document mal formés.
C. Résolution
En consultant le package Ghostscript sur les systèmes Debian et Ubuntu, nous vous recommandons de mettre à jour le paquet Ghostscript à la version 9.55.0 afin de bénéficier du correctif.
Sources
https://www.debian.org/security/2023/dsa-5446
https://launchpad.net/ubuntu/+source/ghostscript/9.55.0~dfsg1-0ubuntu5.3
#15 Mis à jour par Jean-Laurent DUZANT il y a 6 mois
- Statut changé de R&D - En cours à R&D - En test
#16 Mis à jour par Emmanuel DILLARD il y a 6 mois
- Statut changé de R&D - En test à R&D - Terminé
#17 Mis à jour par Emmanuel DILLARD il y a 6 mois
- Sujet changé de 20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 à 20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 (Ghostscript)