Программа: netpbm 10.28 и более ранние версии

Удаленный пользователь может заставить
целевого пользователя выполнить
произвольные команды. Утилита ‘pstopnm’
вызывает Ghostscript интерпретатор на
пользовательских PostScript файлах не определяя
параметр –dSAFER при преобразовании PBM, PGM, или
PNM файлов. В результате, удаленный
пользователь может создать специально
сформированный PostScript файл, который, когда
будет обработан целевым пользователем
используя pstopnm, выполнит произвольные
команды на целевой системе с привилегиями
целевого пользователя.



Оставить мнение