Les distributeurs Linux et les développeurs d’applications utilisant l’interpréteur open source Ghostscript pour le langage PostScript et les PDF sont invités à appliquer le dernier correctif de sécurité pour l’utilitaire après la découverte d’une vulnérabilité majeure.
Cette vulnérabilité, CVE-2023-36664, s’est vu attribuer un score CVSS de 9,8 et pourrait permettre l’exécution de code causée par une mauvaise gestion de la validation des autorisations par Ghostscript pour les périphériques de canal.
Les versions antérieures à 10.01.2 sont à risque.
Ghostscript est largement utilisé sous Linux et est souvent installé par défaut, expliquent des chercheurs de Kroll. Mais lorsque les applications qui utilisent Ghostscript sont portées sur d’autres systèmes d’exploitation tels que Windows, elles continueront à utiliser une version de Ghostscript sur le nouveau système d’exploitation.
Cela signifie, selon le rapport, que plutôt que d’affecter un seul système d’exploitation, la vulnérabilité a le potentiel d’en affecter plusieurs, en particulier ceux dont les applications d’impression ou de publication utilisent des composants open source.
Sorti pour la première fois en 1988, Ghostscript a fait partie des installations par défaut de nombreuses distributions Linux. Le rapport de Kroll note qu’il est rarement utilisé directement. Au lieu de cela, il est fréquemment utilisé par d’autres logiciels open source pour faciliter l’impression ou la conversion de fichiers. Il s’agit d’une dépendance requise pour « cups-filters », qui est un composant central du Common Unix Printing System (CUPS), le principal mécanisme de Linux pour l’impression et les services d’impression. D’autres applications utilisent Ghostscript pour lire et enregistrer des fichiers PostScript (PS), Embedded PostScript (EPS) ou PDF.
Sur un système Debian 12, dit Kroll, 131 progiciels dépendent de Ghostscript. La liste des applications qui utilisent Ghostscript comprend des applications de bureau et de productivité populaires telles que LibreOffice, Inkscape et Scribus, ainsi que d’autres outils tels que ImageMagick (qui est lui-même une dépendance de nombreuses applications importantes).
La divulgation de la vulnérabilité Ghostscript indique que le problème concerne les canaux (pipes) du système d’exploitation, qui, selon le rapport Kroll, sont un mécanisme permettant à des logiciels séparés de communiquer entre eux en redirigeant la sortie d’une application vers l’entrée d’une autre. Ces canaux sont souvent représentés par le symbole « | » sur la ligne de commande. La description de la vulnérabilité indique également que le problème concerne une validation des autorisations.
Kroll recommande de mettre à jour Linux et les systèmes concernés avec les derniers niveaux de correctifs de sécurité pour Ghostscript. Les applications capables de faire le rendu de fichiers PDF ou EPS doivent également être vérifiées pour l’utilisation de Ghostscript et mises à jour au fur et à mesure que des correctifs sont disponibles auprès du fournisseur. Et les professionnels de la sécurité de l’information doivent s’assurer que tous les terminaux sont régulièrement corrigés et mis à jour pour se défendre contre les vulnérabilités connues que les cybercriminels peuvent exploiter.
Adaptation et traduction française par Renaud Larue-Langlois.
