Ghostscript 代码执行漏洞

• 漏洞编号：CVE-2023-36664
  
• 漏洞类型：远程代码执行(RCE)
• 漏洞等级：严重
• 发布时间：2023-07-14

漏洞描述：

Artifex Software Ghostscript是美国Artifex Software公司的一款开源的PostScript解析器，许多Linux发行版中默认安装Ghostscript。

近日，Ghostscript代码执行漏洞的漏洞细节和PoC在互联网上公开，漏洞编号：CVE-2023-36664，漏洞危害等级：严重。

该漏洞源于Ghostscript 中的gp_file_name_reduce()函数，由于对管道设备（带有 %pipe% 或 | 管道字符前缀）的权限验证处理不当，处理特制文件时可能导致代码执行。

影响版本：

修复建议

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。
漏洞修复版本：
Ghostscript/GhostPDL >= 10.01.2
下载链接：
https://www.ghostscript.com/releases/index.html

参考链接:

https://www.ghostscript.com/
https://www.kroll.com/en/insights/publications/cyber/ghostscript-cve-2023-36664-remote-code-execution-vulnerability
https://www.bleepingcomputer.com/news/security/critical-rce-found-in-popular-ghostscript-open-source-pdf-library/