Oracle Linux 5：ghostscript（ELSA-2009-0421）

high Nessus プラグイン ID 67841

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2009:0421 から：

複数のセキュリティ上の問題を修正する更新済みの ghostscript パッケージが、Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

Ghostscript は、PostScript インタープリター、C プロシージャのセット（PostScript 言語でグラフィック機能を実装する Ghostscript ライブラリ）、およびポータブル・ドキュメント・フォーマット（PDF）ファイル用のインタープリターを提供するソフトウェアセットです。

Red Hat Security Advisory RHSA-2009:0345 が Ghostscript の International Color Consortium Format ライブラリ（icclib）にあるすべての可能な整数オーバーフロー欠陥に対応していないことが分かりました。攻撃者は特別に細工された ICC プロファイルを使用して Ghostscript をクラッシュさせたり、場合によっては開いたときに任意のコードを実行することができる、画像を組み込んだ悪意のある PostScript または PDF ファイルを作成することがあります。(CVE-2009-0792)

バッファオーバーフロー欠陥と複数の欠落した境界検査が Ghostscript で見つかりました。攻撃者は Ghostscript をクラッシュさせたり、場合によっては開いたときに任意のコードを実行することができる、特別に細工された PostScript または PDF ファイルを作成することがあります。（CVE-2008-6679、 CVE-2007-6725、CVE-2009-0196）

Red Hat は、CVE-2009-0196 の欠陥を報告してくれた Secunia Research の Alin Rad Pop 氏に感謝の意を表します。

ghostscript のユーザーは、バックポートされたパッチが含まれるこの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。