BLSA-2017:0051 – [重要] ghostscript 安全警告及修复方法



  • BLSA-2017:0051 – [重要] ghostscript 安全警告及修复方法

    问题描述

    最近 ghostscript 暴露出一个安全漏洞(CVE-2017-8291),恶意攻击者利用这个漏洞,可以在ghostscript进程上下文环境下执行任意代码。为了增加系统安全强度,建议所有使用受影响产品的用户都安装BCLinux提供的的更新补丁。

    Ghostscript简介
    Ghostscript是一套建基于Adobe、PostScript及可移植文档格式(PDF)的页面描述语言等而编译成的免费软件。Ghostscript最初是以商业软件形式在PC市场上发售,并称之为“GoScript”。但由于速度太慢(半小时一版A4),销量极差。后来有心人买下了版权,并改在Linux上开发,成为了今日的Ghostscript。Ghostview最早是由L. Peter Deutsch和Aladdin Enterprises开发的,以Aladdin Free PublicLicense (AFPL)发布,目前由artofcode LLC拥有并维护。推出了两个版本:一是在原来的AFPL许可下进行商业使用的AFPL Ghostscript,一是GNU General Public License下使用的GPL Ghostscript。这个软体可用作:电脑印表机使用的栅格化影像处理器(RIP);以Postscript和PDF阅览器使用的栅格化影像处理器(RIP) 引擎;档案格式转换器;一般用途的编程环境;把图集转换为pdf文件;从pdf文件中批量提取图片,及把每页pif转换为图片;Ghostscript用于打印行业较多,它从pdf转换的CMYK格式图片,与Adobe转换的cmyk格式图片色差基本为0。

    影响版本

    • BigCloud Enterprise Linux 7
    • BigCloud Enterprise Linux 6
    • Red Hat Enterprise Linux 7
    • Red Hat Enterprise Linux 6
    • CentOS Linux 7
    • CentOS Linux 6

    详细描述

    • CVE-2017-8291 [重要]
      ghostscript被发现没有正确地验证传入.rsdparams and .eqproc函数的参数,在其执行过程中,恶意攻击者可以通过特制的PostScript文档在ghostscript进程上下文中执行任意代码,并绕过 -dSAFER 保护。

    解决方案

    目前,BCLinux的官方源已经可以提供更新的 ghostscript 软件包。
    BCLinux 7 用户需要升级到 9.07-20.el7_3.5 版本;
    BCLinux 6 用户需要升级到 8.70-23.el6.2 版本。

    BCLinux 7 用户安装更新步骤如下

    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]# ls -l /etc/yum.repos.d/
    total 16
    -rw-r--r--. 1 root root 1127 Jan  7  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  794 Jan  7  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  7  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  7  2016 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update ghostscript
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package ghostscript.x86_64 0:9.07-18.el7 will be updated
    ---> Package ghostscript.x86_64 0:9.07-20.el7_3.5 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================================================================================
     Package                            Arch                          Version                                 Repository                      Size
    ===============================================================================================================================================
    Updating:
     ghostscript                        x86_64                        9.07-20.el7_3.5                         updates                        4.3 M
    
    Transaction Summary
    ===============================================================================================================================================
    Upgrade  1 Package
    
    Total download size: 4.3 M
    Is this ok [y/d/N]: y
    

    3.复查

    [root@BCLinux ~]# rpm -q ghostscript
    ghostscript-9.07-20.el7_3.5.x86_64
    

    4.重启应用

    安装升级包以后,重启应用,更新生效。

    BCLinux 6 用户安装更新步骤如下

    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]#  ls -l /etc/yum.repos.d/
    total 12
    -rw-r--r--. 1 root root  969 Nov 16  2015 BCLinux-Base.repo
    -rw-r--r--. 1 root root 1053 Nov 16  2015 BCLinux-Source.repo
    -rw-r--r--. 1 root root 1184 Nov 16  2015 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update ghostscript
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Setting up Update Process
    Resolving Dependencies
    --> Running transaction check
    ---> Package ghostscript.x86_64 0:8.70-19.el6 will be updated
    ---> Package ghostscript.x86_64 0:8.70-23.el6.2 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ===============================================================================================================================================
     Package                            Arch                          Version                                 Repository                      Size
    ===============================================================================================================================================
    Updating:
     ghostscript                        x86_64                        8.70-23.el6.2                           updates                        4.4 M
    
    Transaction Summary
    ===============================================================================================================================================
    Upgrade       1 Package(s)
    
    Total download size: 4.4 M
    Is this ok [y/N]: y
    

    3.复查

    [root@BCLinux ~]# rpm -q ghostscript
    ghostscript-8.70-23.el6.2.x86_64
    

    4.重启应用

    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新