PT-2024-5032 · Artifex+6 · Artifex Ghostscript+6

Thomas Rinsma

Publicado

2024-01-24

Atualizado

2025-07-08

CVE-2024-29508

CVSS v2.0

Alta

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas:

Versões do Artifex Ghostscript anteriores à 10.03.0

Versões do Artifex Ghostscript anteriores à 10.0.3.0

Descrição:

O problema está relacionado a uma divulgação de ponteiro baseada em heap na função pdf base font alloc(), observável em um nome BaseFont construído. Isso é causado por um estouro de buffer devido ao dimensionamento incorreto do ponteiro (".F" PRI INTPTR). A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário ou cause uma negação de serviço.

Recomendações:

Para versões anteriores à 10.03.0, atualize para a versão 10.03.0 ou posterior.

Para versões anteriores à 10.0.3.0, atualize para a versão 10.0.3.0 ou posterior.

Como solução temporária, considere restringir o acesso à função pdf base font alloc() até que um patch esteja disponível.

Exploit

Correção

Heap Based Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-468CWE-465CWE-122

Identificadores relacionados

ALT-PU-2024-13477

ALT-PU-2024-14136

ALT-PU-2024-14302

BDU:2024-05559

CVE-2024-29508

DLA-3931-1

DSA-5760-1

OESA-2024-2159

OESA-2024-2160

OESA-2024-2161

OESA-2024-2162

OESA-2024-2163

OPENSUSE-SU-2024_2627-1

ROSA-SA-2025-2622

ROSA-SA-2025-2623

SUSE-SU-2024:2547-1

SUSE-SU-2024:2627-1

SUSE-SU-2024_2547-1

SUSE-SU-2024_2627-1

USN-6897-1

USN-7623-1

Produtos afetados

Alt Linux

Artifex Ghostscript

Astra Linux

Linuxmint

Red Os

Suse

Ubuntu

PT-2024-5032 · Artifex+6 · Artifex Ghostscript+6

CVE-2024-29508

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 75