Projet

Général

Profil

Actions

Anomalie #26410

fermé

20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 (Ghostscript)

Ajouté par Sarah BAZIN il y a plus d'un an. Mis à jour il y a environ un an.

Statut:
R&D - Terminé
Priorité:
0-Bloquant
Version cible:
Début:
29/08/2023
Echéance:
24/10/2023


Demandes liées 1 (1 ouverte0 fermée)

Lié à Backlog Courrier - Anomalie #26369: 20.03 - Vulnérabilités dans open ssl CERTFR-2023-AVI-0571 CERTFR-2023-AVI-0605RésoluHenri QUENEAU04/08/202304/12/2023Actions

Mis à jour par Emmanuel DILLARD il y a plus d'un an

  • Sujet changé de 20.03 - Analyse Vulnérabilité à 20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542
  • Description mis à jour (diff)
  • Statut changé de A qualifier à R&D - A étudier
  • Assigné à changé de Sarah BAZIN à Emmanuel DILLARD
  • Début changé de 02/10/2023 à 29/08/2023
  • Version source mis à 20.03 TMA

Mis à jour par Emmanuel DILLARD il y a plus d'un an

  • Statut changé de R&D - A étudier à A traiter

Mis à jour par Emmanuel DILLARD il y a plus d'un an

  • Statut changé de A traiter à R&D - A planifier
  • Priorité changé de 3-Mineur à 2-Sérieux

Mis à jour par Emmanuel DILLARD il y a plus d'un an

  • Echéance mis à 05/12/2023

Mis à jour par Emmanuel DILLARD il y a environ un an

  • Priorité changé de 2-Sérieux à 1-Majeur

Mis à jour par Emmanuel DILLARD il y a environ un an

  • Lié à Anomalie #26369: 20.03 - Vulnérabilités dans open ssl CERTFR-2023-AVI-0571 CERTFR-2023-AVI-0605 ajouté

Mis à jour par Emmanuel DILLARD il y a environ un an

  • Priorité changé de 1-Majeur à 0-Bloquant

Mis à jour par Emmanuel DILLARD il y a environ un an

  • Echéance changé de 05/12/2023 à 24/10/2023
  • Statut changé de R&D - A planifier à R&D - En cours

Mis à jour par Emmanuel DILLARD il y a environ un an

  • Assigné à Emmanuel DILLARD supprimé

Mis à jour par Jean-Laurent DUZANT il y a environ un an

  • Assigné à mis à Jean-Laurent DUZANT

Mis à jour par Jean-Laurent DUZANT il y a environ un an

Voici notre analyse suite à la demande de la vulnérabilité CERTFR-2023-AVI-0542.

A. Périmètre

Maarch Courrier 20.03 utilise Ghostscript pour :

  • la génération des imagettes
  • la génération de PDF à partir du HTML

B. Impacts

Ghostscript est une suite logicielle permettant le traitement des formats de fichiers PostScript et PDF.

D'après l'avis du CERTFR-2023-AVI-0542, les environnements qui ont la version inférieur de 10.0.0 son sujets à un risque d'exécution de code arbitraire à distance en utilisant la commande Ghostscript.
Ghostscript, l'interpréteur PostScript et PDF sous GPL, ne gérait pas correctement la validation des permissions validation des périphériques tubes, ce qui peut avoir pour conséquence l'exécution de commandes arbitraires lors du traitement de fichiers de document mal formés.

C. Résolution

En consultant le package Ghostscript sur les systèmes Debian et Ubuntu, nous vous recommandons de mettre à jour le paquet Ghostscript à la version 9.55.0 afin de bénéficier du correctif.

Sources
https://www.debian.org/security/2023/dsa-5446
https://launchpad.net/ubuntu/+source/ghostscript/9.55.0~dfsg1-0ubuntu5.3

Mis à jour par Jean-Laurent DUZANT il y a environ un an

  • Statut changé de R&D - En cours à R&D - En test

Mis à jour par Emmanuel DILLARD il y a environ un an

  • Statut changé de R&D - En test à R&D - Terminé

Mis à jour par Emmanuel DILLARD il y a environ un an

  • Sujet changé de 20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 à 20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 (Ghostscript)
Actions

Formats disponibles : Atom PDF