Kritisk sårbarhet i GhostScript PDF-bibliotek
Ghostscript, ett open-source-bibiliotek för PostScript och med bred användning för Linux rendering och hantering av PDF-filer, har en kritisk sårbarhet med CVSS-klassificering 9.8 [1].
Eftersom Ghostscript är vanligt förekommande i Linux, ofta installerad som standard, inbyggt i program som renderar PDF-filer eller EPS-filer behöver alla dessa uppdateras. Sårbarheten (CVE-2023-36664) kan utnyttjas av en fjärrangripare för att exekvera godtycklig kod och detta kan ske när en fil öppnas. Sårbarheten har potential att påverka även andra operativ system såsom Windows, genom portering av Ghostscript på det nya operativsystemet.
Påverkade produkter
Programvaror som använder Ghostscript med versioner före 10.01.2.
Applikationer som använder Ghostscript, inkluderar exempelvis LibreOffice, Inkscape (Windows) och Scribus.
Rekommendationer
CERT-SE rekommenderar att verksamheter ser över ifall Ghostscript används i programvaror för PDF-/EPS-rendering och i så fall genomför säkerhetsuppdatering snarast.