Artifex Ghostscript 'gs_alloc_ref_array'函数堆缓冲区溢出漏洞

admin

0
文章

0
评论

2023-12-02 12:14:17 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Artifex Ghostscript 'gs_alloc_ref_array'函数堆缓冲区溢出漏洞

CVE编号

CVE-2017-9835

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-07-27

漏洞描述

Artifex Ghostscript 9.22中psi / ialloc.c中的gs_alloc_ref_array函数允许远程攻击者拒绝服务（基于堆的缓冲区溢出和应用程序崩溃）或通过精心制作的PostScript文档造成未指定的其他影响。这与在base / gsalloc.c中缺少整数溢出检查有关。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://bugs.ghostscript.com/show_bug.cgi?id=697985

参考链接
http://git.ghostscript.com/?p=ghostpdl.git%3Ba=commit%3Bh=cfde94be1d4286bc476...
http://www.debian.org/security/2017/dsa-3986
http://www.securityfocus.com/bid/99991
https://bugs.ghostscript.com/show_bug.cgi?id=697985
https://security.gentoo.org/glsa/201811-12

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	artifex	ghostscript	9.21	-
	运行在以下环境
	系统	debian_10	ghostscript	*		Up to (excluding) 9.22~dfsg-1
	运行在以下环境
	系统	debian_11	ghostscript	*		Up to (excluding) 9.22~dfsg-1
	运行在以下环境
	系统	debian_12	ghostscript	*		Up to (excluding) 9.22~dfsg-1
	运行在以下环境
	系统	debian_7	ghostscript	*		Up to (excluding) 9.05~dfsg-6.3+deb7u7
	运行在以下环境
	系统	debian_8	ghostscript	*		Up to (excluding) 9.06~dfsg-2+deb8u5
	运行在以下环境
	系统	debian_9	ghostscript	*		Up to (excluding) 9.20~dfsg-3.2+deb9u1
	运行在以下环境
	系统	debian_sid	ghostscript	*		Up to (excluding) 9.22~dfsg-1
	运行在以下环境
	系统	fedora_27	ghostscript-debuginfo	*		Up to (excluding) 9.22-1.fc27
	运行在以下环境
	系统	opensuse_Leap_42.3	ghostscript-x11	*		Up to (excluding) 9.15-14.3.1
	运行在以下环境
	系统	suse_11_SP4	ghostscript-fonts-std	*		Up to (excluding) 4.2.7-32.47.7.1
	运行在以下环境
	系统	suse_12	ghostscript	*		Up to (excluding) 9.15-23.7
	运行在以下环境
	系统	suse_12_SP2	ghostscript-x11	*		Up to (excluding) 9.15-23.7.1
	运行在以下环境
	系统	suse_12_SP3	ghostscript-x11	*		Up to (excluding) 9.15-23.7.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	ghostscript	*		Up to (excluding) 9.10~dfsg-0ubuntu10.10
	运行在以下环境
	系统	ubuntu_16.04	ghostscript	*		Up to (excluding) 9.18~dfsg~0-0ubuntu2.7
	运行在以下环境
	系统	ubuntu_16.04.7_lts	ghostscript	*		Up to (excluding) 9.18~dfsg~0-0ubuntu2.7