Les distributeurs Linux et les développeurs open source avertis de mettre à jour Ghostscript

Les distributeurs Linux et les développeurs d’applications utilisant l’interpréteur open source Ghostscript pour le langage PostScript et les PDF sont invités à appliquer le dernier correctif de sécurité pour l’utilitaire après la découverte d’une vulnérabilité majeure.

Cette vulnérabilité, CVE-2023-36664, s’est vu attribuer un score CVSS de 9,8 et pourrait permettre l’exécution de code causée par une mauvaise gestion de la validation des autorisations par Ghostscript pour les périphériques de canal.

Les versions antérieures à 10.01.2 sont à risque.

Ghostscript est largement utilisé sous Linux et est souvent installé par défaut, expliquent des chercheurs de Kroll. Mais lorsque les applications qui utilisent Ghostscript sont portées sur d’autres systèmes d’exploitation tels que Windows, elles continueront à utiliser une version de Ghostscript sur le nouveau système d’exploitation.

Cela signifie, selon le rapport, que plutôt que d’affecter un seul système d’exploitation, la vulnérabilité a le potentiel d’en affecter plusieurs, en particulier ceux dont les applications d’impression ou de publication utilisent des composants open source.

Sorti pour la première fois en 1988, Ghostscript a fait partie des installations par défaut de nombreuses distributions Linux. Le rapport de Kroll note qu’il est rarement utilisé directement. Au lieu de cela, il est fréquemment utilisé par d’autres logiciels open source pour faciliter l’impression ou la conversion de fichiers. Il s’agit d’une dépendance requise pour « cups-filters », qui est un composant central du Common Unix Printing System (CUPS), le principal mécanisme de Linux pour l’impression et les services d’impression. D’autres applications utilisent Ghostscript pour lire et enregistrer des fichiers PostScript (PS), Embedded PostScript (EPS) ou PDF.

Sur un système Debian 12, dit Kroll, 131 progiciels dépendent de Ghostscript. La liste des applications qui utilisent Ghostscript comprend des applications de bureau et de productivité populaires telles que LibreOffice, Inkscape et Scribus, ainsi que d’autres outils tels que ImageMagick (qui est lui-même une dépendance de nombreuses applications importantes).

La divulgation de la vulnérabilité Ghostscript indique que le problème concerne les canaux (pipes) du système d’exploitation, qui, selon le rapport Kroll, sont un mécanisme permettant à des logiciels séparés de communiquer entre eux en redirigeant la sortie d’une application vers l’entrée d’une autre. Ces canaux sont souvent représentés par le symbole « | » sur la ligne de commande. La description de la vulnérabilité indique également que le problème concerne une validation des autorisations.

Kroll recommande de mettre à jour Linux et les systèmes concernés avec les derniers niveaux de correctifs de sécurité pour Ghostscript. Les applications capables de faire le rendu de fichiers PDF ou EPS doivent également être vérifiées pour l’utilisation de Ghostscript et mises à jour au fur et à mesure que des correctifs sont disponibles auprès du fournisseur. Et les professionnels de la sécurité de l’information doivent s’assurer que tous les terminaux sont régulièrement corrigés et mis à jour pour se défendre contre les vulnérabilités connues que les cybercriminels peuvent exploiter.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Les entreprises canadiennes de taille moyenne paient en moyenne 1,13 million de dollars aux gangs de rançongiciels

Le paiement moyen de rançongiciel effectué par les entreprises canadiennes de taille moyenne s'élevait cette année à un peu plus d'un million de dollars, selon une nouvelle enquête.

Une vulnérabilité du jour zéro d’HTTP/2 cause des attaques DDoS massives ; corrigez vos serveurs dès maintenant

Les développeurs et les administrateurs de serveurs Web sont invités à installer des correctifs pour corriger une vulnérabilité critique du jour zéro dans un protocole clé qui a conduit à une récente attaque par déni de service (DDoS) record.

Les administrateurs invités à corriger rapidement les failles du serveur de transfert de fichiers WS_FTP

Un autre ensemble de vulnérabilités critiques a été découvert dans une application de transfert de fichiers, ce qui fait craindre que, si elle est exploitée avant d'être corrigée, il entraînera également un grand nombre de violations de données.

Le Centre pour la cybersécurité émet une mise en garde après qu’un groupe indien eut lancé une menace

L'autorité cybernétique du gouvernement canadien a émis un avertissement aux administrateurs informatiques du pays pour qu'ils surveillent les attaques, après qu'un groupe ou un individu prétendant être originaire de l'Inde eut émis une menace de représailles à la suite d’allégations selon lesquelles l'Inde aurait pu être à l'origine de l'assassinat d'un Canadien militant en faveur d'un État sikh indépendant.

Le CCC lance une alerte après les attaques DDoS visant le gouvernement

Des attaques par déni de service distribué contre les sites Web des ministères fédéraux et de plusieurs provinces et territoires canadiens, dont l'Île-du-Prince-Édouard, le Yukon, la Saskatchewan et le Manitoba, ont incité l'agence fédérale de cybersécurité à émettre une alerte informatique.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.