关于Ghostscript代码执行漏洞（CVE-2023-36664）的预警提示

发布时间:2023-07-14

作者: 图文信息中心

浏览次数:10

一、漏洞详情

Ghostscript是PostScript语言和PDF文件的开源解释器，许多Linux发行版中默认安装Ghostscript，并被 LibreOffice、GIMP、Inkscape、Scribus、ImageMagick和CUPS打印系统等软件使用。

近日监测到Ghostscript代码执行漏洞（CVE-2023-36664），该漏洞源于Ghostscript 中的gp_file_name_reduce()函数，由于对管道设备（带有%pipe%或 | 管道字符前缀）的权限验证处理不当，处理特制文件时可能导致代码执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Ghostscript/GhostPDL版本 < 10.01.2

三、修复建议

目前该漏洞已经修复，受影响用户可升级到Ghostscript/GhostPDL版本10.01.2；Linux 用户可使用其发行版的包管理器升级到Ghostscript最新版本。

下载链接：https://www.ghostscript.com/releases/index.html