Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsque Ghostscript est lancé depuis un répertoire modifiable, il
peut exécuter du code PostScript illicite.

– Gravité : 1/4
– Date création : 31/05/2010

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme Ghostscript (gs) manipule des documents PostScript ou
PDF.

Par défaut, Ghostscript charge des fichiers de configuration à
partir du répertoire courant. Ce comportement est à l’origine de
la vulnérabilité VIGILANCE-VUL-9669 (https://vigilance.fr/arbre/1/9669).
L’option "-P-" de Ghostscript interdit le chargement de tous ces
fichiers.

Cependant, le fichier gs_init.ps est chargé dans tous les cas. Il
peut contenir du code illicite placé par un attaquant.

Lorsque Ghostscript est lancé depuis un répertoire modifiable, il
peut donc exécuter du code PostScript illicite.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Ghostscript-execution-de-gs-init-ps-9674