Ankündigung

Einklappen
Keine Ankündigung bisher.

PDF zu JPG Ghostscript 2018 knocked out

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • PDF zu JPG Ghostscript 2018 knocked out

    Hallo,

    Ghostscript hat eine Sicherheitslücke. Da ich mit ImageMagic PDFs in Bilder umwandle, suche ich nach einer anderen Möglichkeit/Alternative.

    Ich nehme an, dass viele Software hier betroffen sind, finde aber nichts im Netz.

    So wie es aussieht, gibt es noch keinen Patch für die Lücke oder doch? Weiß wer einen Rat?


  • #2
    Dann ist deine Suche einfach scheisse gewesen.

    Die PFDlib kann sowas... ist aber halt nicht umsonst.
    Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.

    Kommentar


    • #3
      Seit Februar gibts die wohl,
      igendwo hab ich mal diff gefunden,. weiss nicht mehr, gibts nichts offizielles.

      Dann bleibt noch die idee das PDF vorher nach den attacken zu durchsuchen, oder einen sehr restriktiven user mit dem job zu beauftragen.

      ist aber alles echte arbeit.

      Kommentar


      • #4
        Die PDFlib gibts schon Jahrzente... und zur Ghostscript Sicherheitslücke - ich weiss nicht, was du gesucht hast, aber ich hab auf Anhieb das gefunden:
        Einen Fix gibt es bislang nicht, als Workaround kann man jedoch in Imagemagick über die Policy-Konfiguration den Aufruf von Ghostscript unterbinden. In einer Warnung des CERT/CC findet man hierfür eine Beispielkonfiguration.
        (https://www.kb.cert.org/vuls/id/332928)
        https://www.golem.de/news/sicherheit...08-136157.html
        Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.

        Kommentar


        • #5
          Zitat von lstegelitz Beitrag anzeigen
          (..) und zur Ghostscript Sicherheitslücke - ich weiss nicht, was du gesucht hast, aber ich hab auf Anhieb das gefunden:


          https://www.golem.de/news/sicherheit...08-136157.html
          Das
          ImageMagick can be controlled via the policy.xml security policy to disable the processing of PS, EPS, PDF, and XPS content. For example, this can be done by adding these lines to the <policymap> section of the /etc/ImageMagick/policy.xml file (..)
          ist ja auch überall verlinkt.

          Ich frage mich halt nur, wie ich aus einem PDF ein JPG machen soll, wenn processing PDF disabled ist.

          Kommentar


          • #6
            https://www.kb.cert.org/vuls/id/332928

            Da ist doch ne Liste mit Patches für diverse OS dabei, ist deins nicht darunter? Bist du überhaupt betroffen? Du hast dein Server OS verschwiegen.

            Es gibt auch im Internet Dienste, die das erledigen... du postest dein PDF hin und bekommst ein JPG zurück.. verlagert das Problem (zu hoffentlich jemandem, der entweder nicht Ghostscript nutzt, oder die Lücke gepatched hat)
            Bsp:
            https://market.mashape.com/pdf2jpg/pdf2jpg-1
            Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.

            Kommentar


            • #7
              Zitat von lstegelitz Beitrag anzeigen
              https://www.kb.cert.org/vuls/id/332928

              Da ist doch ne Liste mit Patches für diverse OS dabei, ist deins nicht darunter? Bist du überhaupt betroffen? Du hast dein Server OS verschwiegen.

              Es gibt auch im Internet Dienste, die das erledigen... du postest dein PDF hin und bekommst ein JPG zurück.. verlagert das Problem (zu hoffentlich jemandem, der entweder nicht Ghostscript nutzt, oder die Lücke gepatched hat)
              Bsp:
              https://market.mashape.com/pdf2jpg/pdf2jpg-1
              Bitte verwechsele mich nicht mit dem TE.

              die patches habe ich oben schon erwähnt.
              zu den Artifex Patches:
              • CVE IDs: Unknown
              • Date Public: 21 Feb 2018
              • Date First Published: 21 Aug 2018
              • Date Last Updated: 31 Aug 2018
              As of August 24, 2018, all reported problems have been fixed and will be part of the
              next Ghostscript release in late September.
              Ich habe nicht alle möglichen Probleme mit allen patches abgeglichen, gebe aber zu bedenken, daßt die patches wohl noch ubgedated werden, trotzt der meldung vom 24 (have been fixed).Zudem gibt es möglicherweise Lizens Probleme bei dem Artifex Code.

              Mir ist das, auch weil ich das Problem nicht habe, zu kompliziert jetzt.
              Die patches scheinen erstmal OS unabhängig, aber auch das kann ich dir so nicht sagen.

              Ich habe oben auch schonmal erwähnt, daß hier auf der schicheren Seite zu sein auf Arbeit hinausläuft.
              Nicht umsonst steht da auch:
              Because of the number of different attack vectors to get to Ghostscript and the public availability of exploit code, the most effective protection for this vulnerability is to remove Ghostscript from your system until a fixed version is available.

              Kommentar


              • #8
                Ups, sorry... hab mich von "wie ich aus einem PDF ein JPG machen soll" irritieren lassen

                Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.

                Kommentar

                Lädt...
                X