Projet

Général

Rapports personnalisés

Profil

Actions
Copier le lien

Anomalie #26410

fermé

20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 (Ghostscript)

Ajouté par Sarah BAZIN il y a plus d'un an. Mis à jour il y a plus d'un an.

Statut:
R&D - Terminé
Priorité:
0-Bloquant
Assigné à:
Jean-Laurent DUZANT
Version cible:
20.03 TMA2
Début:
29/08/2023
Echéance:
24/10/2023

Description

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0542/

Demandes liées 1 (1 ouverte0 fermée)

Lié à Backlog Courrier - Anomalie #26369: 20.03 - Vulnérabilités dans open ssl CERTFR-2023-AVI-0571 CERTFR-2023-AVI-0605RésoluHenri QUENEAU04/08/202304/12/2023Actions
Actions
Copier le lien
 #14

Mis à jour par Jean-Laurent DUZANT il y a plus d'un an

Voici notre analyse suite à la demande de la vulnérabilité CERTFR-2023-AVI-0542.

A. Périmètre

Maarch Courrier 20.03 utilise Ghostscript pour :

  • la génération des imagettes
  • la génération de PDF à partir du HTML

B. Impacts

Ghostscript est une suite logicielle permettant le traitement des formats de fichiers PostScript et PDF.

D'après l'avis du CERTFR-2023-AVI-0542, les environnements qui ont la version inférieur de 10.0.0 son sujets à un risque d'exécution de code arbitraire à distance en utilisant la commande Ghostscript.
Ghostscript, l'interpréteur PostScript et PDF sous GPL, ne gérait pas correctement la validation des permissions validation des périphériques tubes, ce qui peut avoir pour conséquence l'exécution de commandes arbitraires lors du traitement de fichiers de document mal formés.

C. Résolution

En consultant le package Ghostscript sur les systèmes Debian et Ubuntu, nous vous recommandons de mettre à jour le paquet Ghostscript à la version 9.55.0 afin de bénéficier du correctif.

Sources
https://www.debian.org/security/2023/dsa-5446
https://launchpad.net/ubuntu/+source/ghostscript/9.55.0~dfsg1-0ubuntu5.3

Actions
Copier le lien

Formats disponibles : Atom PDF