Anomalie #26410
fermé20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 (Ghostscript)
Ajouté par Sarah BAZIN il y a environ un an. Mis à jour il y a environ un an.
Mis à jour par Emmanuel DILLARD il y a environ un an
- Sujet changé de 20.03 - Analyse Vulnérabilité à 20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542
- Description mis à jour (diff)
- Statut changé de A qualifier à R&D - A étudier
- Assigné à changé de Sarah BAZIN à Emmanuel DILLARD
- Début changé de 02/10/2023 à 29/08/2023
- Version source mis à 20.03 TMA
Mis à jour par Emmanuel DILLARD il y a environ un an
- Statut changé de R&D - A étudier à A traiter
Mis à jour par Emmanuel DILLARD il y a environ un an
- Statut changé de A traiter à R&D - A planifier
- Priorité changé de 3-Mineur à 2-Sérieux
Mis à jour par Emmanuel DILLARD il y a environ un an
- Priorité changé de 2-Sérieux à 1-Majeur
Mis à jour par Emmanuel DILLARD il y a environ un an
- Lié à Anomalie #26369: 20.03 - Vulnérabilités dans open ssl CERTFR-2023-AVI-0571 CERTFR-2023-AVI-0605 ajouté
Mis à jour par Emmanuel DILLARD il y a environ un an
- Priorité changé de 1-Majeur à 0-Bloquant
Mis à jour par Emmanuel DILLARD il y a environ un an
- Echéance changé de 05/12/2023 à 24/10/2023
- Statut changé de R&D - A planifier à R&D - En cours
Mis à jour par Emmanuel DILLARD il y a environ un an
- Assigné à
Emmanuel DILLARDsupprimé
Mis à jour par Jean-Laurent DUZANT il y a environ un an
- Assigné à mis à Jean-Laurent DUZANT
Mis à jour par Jean-Laurent DUZANT il y a environ un an
Voici notre analyse suite à la demande de la vulnérabilité CERTFR-2023-AVI-0542.
A. Périmètre
Maarch Courrier 20.03 utilise Ghostscript pour :
- la génération des imagettes
- la génération de PDF à partir du HTML
B. Impacts
Ghostscript est une suite logicielle permettant le traitement des formats de fichiers PostScript et PDF.
D'après l'avis du CERTFR-2023-AVI-0542, les environnements qui ont la version inférieur de 10.0.0 son sujets à un risque d'exécution de code arbitraire à distance en utilisant la commande Ghostscript.
Ghostscript, l'interpréteur PostScript et PDF sous GPL, ne gérait pas correctement la validation des permissions validation des périphériques tubes, ce qui peut avoir pour conséquence l'exécution de commandes arbitraires lors du traitement de fichiers de document mal formés.
C. Résolution
En consultant le package Ghostscript sur les systèmes Debian et Ubuntu, nous vous recommandons de mettre à jour le paquet Ghostscript à la version 9.55.0 afin de bénéficier du correctif.
Sources
https://www.debian.org/security/2023/dsa-5446
https://launchpad.net/ubuntu/+source/ghostscript/9.55.0~dfsg1-0ubuntu5.3
Mis à jour par Jean-Laurent DUZANT il y a environ un an
- Statut changé de R&D - En cours à R&D - En test
Mis à jour par Emmanuel DILLARD il y a environ un an
- Statut changé de R&D - En test à R&D - Terminé
Mis à jour par Emmanuel DILLARD il y a environ un an
- Sujet changé de 20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 à 20.03 - Analyse Vulnérabilité CERTFR-2023-AVI-0542 (Ghostscript)