https://opennet.me/openforum/vsluhforumID3/116387.html Объявлено (https://www.openwall.com/lists/oss-security/2019/01/23/5) в выявлении новой критической уязвимости (https://bugs.chromium.org/p/project-zero/issues/detail?id=1729&desc=2) (CVE-2019-6116 (https://security-tracker.debian.org/tracker/CVE-2019-6116)) в Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Уязвимость позволяет организовать выполнение произвольного кода в системе при обработке специально оформленных документов. Это 14 опасная уязвимость, выявленная в Ghostscript за последние 6 месяцев. На этот раз для обхода режима изоляции "-dSAFER" использованы особенности обработки подпрограмм с псевдооператорами.<br><br><br><br>Проблема проявляется в том числе в последнем выпуске 9.26 и пока решается только наложением 6 патчей<br>(1 (http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=13b0a36f8181db66a91bcc8cea139998b53a8996), <br>2 (http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=2db98f9c66135601efb103d8db7d020a672308db),<br>3 (http://gi https://opennet.me/openforum/vsluhforumID3/116387.html#26 Wed, 30 Jan 2019 13:27:31 GMT это местный нескучный парсер не позволяет вставлять в текст новости нормальные скобки. Он их как хтмл сразу интерпретирует и не позволяет экранировать. Т.о. местный движок вообще не дает способа вставить символы &lt; &gt; в текст новости. Известная бага, но поскольку опеннет на проприетарном closed-source движке, никакой энтузиаст пофиксить не сможет.<br> https://opennet.me/openforum/vsluhforumID3/116387.html#25 Sat, 26 Jan 2019 23:18:09 GMT Вы сами-то поняли, что написали сейчас? Кто на ком стоял и кто кого поддерживает?<br> https://opennet.me/openforum/vsluhforumID3/116387.html#24 Sat, 26 Jan 2019 15:59:34 GMT есть же вебсервер на postscript?<br> https://opennet.me/openforum/vsluhforumID3/116387.html#23 Fri, 25 Jan 2019 15:32:54 GMT Прикольно, у меня тоже. Не обновлял уже месяца 4, а уже завезли. <br> https://opennet.me/openforum/vsluhforumID3/116387.html#22 Fri, 25 Jan 2019 12:35:23 GMT у гентушника копируй - у него нормальные.<br> https://opennet.me/openforum/vsluhforumID3/116387.html#21 Fri, 25 Jan 2019 09:57:12 GMT Причин много. Авторы построителей миниатюр же никому ничего не должны. Как обычно, десятки разных людей покодили что-то в пределах своего интереса, кое как слепили что-то рабочее и забили. Никакого контроля и ответственности же нет, зп никто даже не платит. Нет и конкретных целей и задач у проектов. и т д<br> https://opennet.me/openforum/vsluhforumID3/116387.html#20 Fri, 25 Jan 2019 08:47:23 GMT Замените эти &#8249;&#8250; угловые скобки на нормальные, а то копипаста не работает.<br> https://opennet.me/openforum/vsluhforumID3/116387.html#19 Fri, 25 Jan 2019 05:50:44 GMT &gt; В дистрибутивах проблема уже устранена в SUSE/openSUSE, Ubuntu, RHEL.<br><br>Для RHEL там ссылка на предыдущий CVE-2018-16509, а именно эта проблема пока ещё не устранена: https://access.redhat.com/security/cve/cve-2019-6116<br><br>&gt; Red Hat Enterprise Linux 7 ghostscript Affected<br>&gt; Red Hat Enterprise Linux 6 ghostscript Will not fix<br>&gt; Red Hat Enterprise Linux 5 ghostscript Will not fix https://opennet.me/openforum/vsluhforumID3/116387.html#18 Fri, 25 Jan 2019 02:52:08 GMT До чего же иной раз удивляют меня пытливые умом исследователи!<br>Вспомнился анекдот:<br>Купили как-то суровым сибирским лесорубам японскую бензопилу.<br>Собрались в кружок лесорубы, решили ее испытать.<br>Завели ее, подсунули ей деревце.<br>- Вжик! &#8212; сказала японская пила.<br>- У, тля! &#8212; сказали лесорубы.<br>Подсунули ей деревце потолще.<br>- Вж-ж-жик! &#8212; сказала пила.<br>- У, тля! &#8212; сказали лесорубы.<br>Подсунули ей толстенный кедр.<br>- Вж-ж-ж-ж-ж-ж-ж-жик! &#8212; сказала пила.<br>- Ууух, тля! &#8212; сказали лесорубы.<br>Подсунули ей железный лом.<br>- КРЯК! &#8212; сказала пила.<br>- А-ага, тля! &#8212; укоризненно сказали суровые сибирские лесорубы. И ушли рубить лес топорами.<br>