阿里云漏洞库

漏洞描述

Artifex Ghostscript是美国Artifex Software公司的一款开源的PostScript（一种用于电子产业和桌面出版领域的页面描述语言和编程语言）解析器。 Artifex Ghostscript GhostXPS 9.22版本中的base/ttinterp.c文件的‘Ins_JMPR’函数存在安全漏洞。远程攻击者可借助特制的文档利用该漏洞造成拒绝服务（堆缓冲区越边界读取和应用程序崩溃）。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://bugs.ghostscript.com/show_bug.cgi?id=698063

参考链接
http://git.ghostscript.com/?p=ghostpdl.git%3Ba=commit%3Bh=c501a58f8d5650c8ba2...
http://www.debian.org/security/2017/dsa-3986
http://www.securityfocus.com/bid/99987
https://bugs.ghostscript.com/show_bug.cgi?id=698063
https://security.gentoo.org/glsa/201811-12

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	artifex	ghostscript_ghostxps	9.21	-
	运行在以下环境
	系统	debian_10	ghostscript	*		Up to (excluding) 9.22~dfsg-1
	运行在以下环境
	系统	debian_11	ghostscript	*		Up to (excluding) 9.22~dfsg-1
	运行在以下环境
	系统	debian_12	ghostscript	*		Up to (excluding) 9.22~dfsg-1
	运行在以下环境
	系统	debian_7	ghostscript	*		Up to (excluding) 9.05~dfsg-6.3+deb7u7
	运行在以下环境
	系统	debian_8	ghostscript	*		Up to (excluding) 9.06~dfsg-2+deb8u5
	运行在以下环境
	系统	debian_9	ghostscript	*		Up to (excluding) 9.20~dfsg-3.2+deb9u1
	运行在以下环境
	系统	fedora_27	ghostscript-debuginfo	*		Up to (excluding) 9.22-1.fc27
	运行在以下环境
	系统	opensuse_Leap_42.3	ghostscript-x11	*		Up to (excluding) 9.15-14.3.1
	运行在以下环境
	系统	suse_11_SP4	ghostscript-fonts-std	*		Up to (excluding) 4.2.7-32.47.7.1
	运行在以下环境
	系统	suse_12	ghostscript	*		Up to (excluding) 9.15-23.7
	运行在以下环境
	系统	suse_12_SP2	ghostscript-x11	*		Up to (excluding) 9.15-23.7.1
	运行在以下环境
	系统	suse_12_SP3	ghostscript-x11	*		Up to (excluding) 9.15-23.7.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	ghostscript	*		Up to (excluding) 9.10~dfsg-0ubuntu10.10
	运行在以下环境
	系统	ubuntu_16.04	ghostscript	*		Up to (excluding) 9.18~dfsg~0-0ubuntu2.7
	运行在以下环境
	系统	ubuntu_16.04.7_lts	ghostscript	*		Up to (excluding) 9.18~dfsg~0-0ubuntu2.7

攻击路径

本地
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-125	跨界内存读

低危 Artifex Ghostscript GhostXPS堆缓冲区溢出漏洞（CNVD-2017-22385）

漏洞描述

解决建议

参考链接

受影响软件情况