Vulnerabilidad en un archivo PDF en el archivo base/gxblend.c en la función compose_group_nonknockout_nonblend_isolated_allmask_common() en Artifex Software GhostScript (CVE-2020-16293)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-476
Desreferencia a puntero nulo (NULL)
Fecha de publicación:
13/08/2020
Última modificación:
07/11/2023
Descripción
Una vulnerabilidad de desreferencia del puntero null en la función compose_group_nonknockout_nonblend_isolated_allmask_common() en el archivo base/gxblend.c de Artifex Software GhostScript versión v9.50, permite a un atacante remoto causar una denegación de servicio por medio de un archivo PDF diseñado. Esto es corregido en la versión v9.51
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:artifex:ghostscript:*:*:*:*:*:*:*:* | 9.52 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugs.ghostscript.com/show_bug.cgi?id=701795
- https://git.ghostscript.com/?p=ghostpdl.git%3Ba%3Dcommit%3Bh%3D7870f4951bcc6a153f317e3439e14d0e929fd231
- https://lists.debian.org/debian-lts-announce/2020/08/msg00032.html
- https://security.gentoo.org/glsa/202008-20
- https://usn.ubuntu.com/4469-1/
- https://www.debian.org/security/2020/dsa-4748