CVE-2018-15908

Impact:
Important
Public Date:
2018-08-21
Bugzilla:
1619756: CVE-2018-15908 ghostscript: .tempfile ファイルパーミッションの問題 (699657)
Artifex Ghostscript 9.23 では 2018 年 8 月 23 日までは、攻撃者は悪意のある PostScript ファイルを提供することで .tempfile 制限を迂回し、ファイルの書き込みが可能でした。

Find out more about CVE-2018-15908 from the MITRE CVE dictionary dictionary and NIST NVD.

CVSS v3 評価基準

CVSS3 基本値 7.3
CVSS3 基本評価基準 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
攻撃元区分 Network
攻撃条件の複雑さ Low
必要な特権レベル None
ユーザ関与レベル None
スコープ Unchanged
機密性 Low
完全性への影響 Low
可用性への影響 Low

Affected Packages State

Platform Package State
Red Hat OpenShift Enterprise 3.2 mediawiki 影響なし
Red Hat OpenShift Enterprise 3.1 mediawiki 影響なし
Red Hat OpenShift Enterprise 3.0 mediawiki 影響なし
Red Hat OpenShift Container Platform 3.9 mediawiki 影響なし
Red Hat OpenShift Container Platform 3.7 mediawiki 影響なし
Red Hat OpenShift Container Platform 3.6 mediawiki 影響なし
Red Hat OpenShift Container Platform 3.5 mediawiki 影響なし
Red Hat OpenShift Container Platform 3.4 mediawiki 影響なし
Red Hat OpenShift Container Platform 3.3 mediawiki 影響なし
Red Hat Enterprise Linux 7 ghostscript 影響あり
Red Hat Enterprise Linux 6 ghostscript フィクスの予定なし
Unless explicitly stated as not affected, all previous versions of packages in any minor update stream of a product listed here should be assumed vulnerable, although may not have been subject to full analysis.

Acknowledgements

Red Hat は、この問題をご報告いただいた Tavis Ormandy 氏 (Google Project Zero) に謝意を表します。

軽減策

https://bugzilla.redhat.com/show_bug.cgi?id=1619748#c3 を参照してください。

参考情報 (外部リンク)

Last Modified