目前 Ghostscript 存在几个已知的安全问题:
CVE-2024-29510
CVE-2024-29506
CVE-2024-29507
CVE-2024-29508
CVE-2024-29509
CVE-2024-29510,请参阅https://nvd.nist.gov/vuln/detail/cve-2024-29510
CVE-2024-29511
在实际版本的 Ubuntu 中没有修复?gs 是 CUPS 的一部分,因此几乎在每台 Ubuntu 计算机上都有。对于恶意人士来说,这是一个非常有吸引力的安全目标!
例如:
- https://stackoverflow.com/questions/52998331/imagemagick-security-policy-pdf-blocking-conversion
- https://www.kb.cert.org/vuls/id/332928/
- https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-248889-1012.pdf?__blob=publicationFile&v=2
- https://tuxcare.com/blog/ghostscript-vulnerability-actively-exploited-in-attacks/
- https://securityaffairs.com/165449/hacking/ghostscript-vulnerability-cve-2024-29510.html
不幸的是,我对计算机安全了解不多。但我读到的内容让我感到担忧,而且令我惊讶的是,现有的 10.03.1 版本尚未全面推出。
我不知道你为什么不去核实事实,但是在你链接的帖子和列出的所有 CVE 中,这些 CVE 和问题已经在 Ubuntu 中得到修补。
在 Ubuntu 中,安全修复程序往往以补丁的形式应用于特定版本,而不是完整版本更新。您所指的这些“点击诱饵”网站并未将发行版补丁纳入其评估范围。
当出现 CVE 时,您需要检查Ubuntu CVE Tracker并搜索相关 CVE,然后检查软件包是否已修补。由于 Ghostscript 是 CUPS 和主口袋的一部分,因此它会从安全团队获取安全更新。
上次我检查时,您列出的所有 CVE都已在受支持的 Ubuntu 版本中进行了修补。因此,“问题”不存在,因为这些 CVE 已修复。
请不要依赖第三方网站来告诉您是否已打补丁。相反,更明智的做法是进行尽职调查并研究 Ubuntu 或您选择的发行版是否有可用的补丁,Ubuntu 就是这种情况。