[Generic/Ghostscript] Schwachstelle in Ghostscript
(2008-03-11 22:46:32.685401+00)
Quelle:
http://www.securityfocus.com/bid/28017/info
Eine Schwachstelle in Ghostscript, dessen Code von vielen Applikationen zur Verarbeitung und Darstellung von Postscript-Dateien verwendet wird, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen.
Betroffene Systeme
- Ghostscript 8.61 und frühere Versionen
Nicht betroffene Systeme
- Ghostscript 8.62
Einfallstor
Postscript-Datei (.ps
)
Angriffsvoraussetzung
Benutzerinteraktion
(user interaction)
Verarbeitung einer entsprechenden Postscript-Datei auf einem betroffenen System, i.A. veranlasst durch einen Benutzer auf diesem System
Angriffsvektorklasse
über eine Netzwerkverbindung
(remote)
Auswirkung
Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem
(user compromise)
Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Die unzureichende Überprüfung von Eingabedaten in der Funktion zseticcspace()
der Postscript-Rendering-Software Ghostscript kann von einem Angreifer dazu ausgenutzt werden, einen Pufferüberlauf zu provozieren und in der Folge beliebigen Programmcode mit den Privilegien des Ghostscript-Prozesses auf dem beherbergenden Rechnersystem auszuführen.
Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass ein Benutzer eines betroffenen Systems eine entsprechende Postscript-Datei mit einer Anwendung betrachtet oder verarbeitet, die betroffenen Ghostscript-Code enthält. Die Datei kann z.B. über eine Webseite oder eine E-Mail-Nachricht an das Opfer übermittelt werden.
Gegenmaßnahmen
- Installation von Ghostscript 8.62
Vulnerability ID
Weitere Information zu diesem Thema
- CESA-2008-001 - rev 1: Stack-based buffer overflow in Ghostscript .seticcspace operator
- Ghostscript Homepage
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1430