在 GIMP 2.8.14 (Windows) 上发现漏洞
Vulnerability found on GIMP 2.8.14 (Windows)
我已告知在软件 GIMP 2.8.14 上发现了一个安全问题。可以在此处找到漏洞描述:Vulnerability Description
这里的 CVE:CVE-2016-4994
当我被告知该漏洞时,我也被告知了一个解决方案,即使用该建议中发送给我的特定版本更新软件。问题是升级仅适用于 linux,而我们在 Windows.
上有 GIMP
您是否了解 2.8.16 版本(我们拥有的版本)上的此漏洞的风险?如果存在风险,您知道避免风险的正确措施吗?
我在 Windows 上没有找到任何关于 GIMP 的信息,所有的解决方案都是为 Linux 设置的。
先谢谢了。
GIMP新版本2.8.18修复了该漏洞。查看发行说明:http://www.gimp.org/news/2016/07/14/gimp-2-8-18-released/
不过,我认为这根本不是什么大问题。
GIMP 并不意味着 "secure software" - 它 运行 作为用户处理器,必须处理数十种文件格式,每种格式最多可以有数百种不同的数据结构。它使用第三方库来处理其中一些数据格式。
不能指望任何版本的 GIMP 都能安全地防止打开文件并让该文件执行任意代码,并具有与程序本身相同的权限。虽然这个特殊的漏洞涉及 GIMP 的本机 XCF 文件,可能在这方面得到修复,但可以简单地打开一个 postscript 文件,根据定义它是一个完整的程序 - will运行 任意代码,即使对于格式正确的图像也是如此。在大多数情况下,正在使用的 postcript 库应该将 运行ning 程序沙盒化并阻止它访问文件系统,但它仍然可以使用 CPU 作为 DoS 攻击。
由您 OS 控制用户应用程序可以访问哪些资源。如果 OS 很紧,GIMP 中的漏洞将不会提供特权升级。甚至可以使用更细粒度的安全功能(例如 SELinux)来进一步限制应用程序访问。
至于 GIMP,2.8.18 版本已于昨天发布 - 如果这个特定问题被标记为已修复,您应该尝试抓住那个。
我已告知在软件 GIMP 2.8.14 上发现了一个安全问题。可以在此处找到漏洞描述:Vulnerability Description
这里的 CVE:CVE-2016-4994
当我被告知该漏洞时,我也被告知了一个解决方案,即使用该建议中发送给我的特定版本更新软件。问题是升级仅适用于 linux,而我们在 Windows.
上有 GIMP您是否了解 2.8.16 版本(我们拥有的版本)上的此漏洞的风险?如果存在风险,您知道避免风险的正确措施吗?
我在 Windows 上没有找到任何关于 GIMP 的信息,所有的解决方案都是为 Linux 设置的。
先谢谢了。
GIMP新版本2.8.18修复了该漏洞。查看发行说明:http://www.gimp.org/news/2016/07/14/gimp-2-8-18-released/
不过,我认为这根本不是什么大问题。
GIMP 并不意味着 "secure software" - 它 运行 作为用户处理器,必须处理数十种文件格式,每种格式最多可以有数百种不同的数据结构。它使用第三方库来处理其中一些数据格式。
不能指望任何版本的 GIMP 都能安全地防止打开文件并让该文件执行任意代码,并具有与程序本身相同的权限。虽然这个特殊的漏洞涉及 GIMP 的本机 XCF 文件,可能在这方面得到修复,但可以简单地打开一个 postscript 文件,根据定义它是一个完整的程序 - will运行 任意代码,即使对于格式正确的图像也是如此。在大多数情况下,正在使用的 postcript 库应该将 运行ning 程序沙盒化并阻止它访问文件系统,但它仍然可以使用 CPU 作为 DoS 攻击。
由您 OS 控制用户应用程序可以访问哪些资源。如果 OS 很紧,GIMP 中的漏洞将不会提供特权升级。甚至可以使用更细粒度的安全功能(例如 SELinux)来进一步限制应用程序访问。
至于 GIMP,2.8.18 版本已于昨天发布 - 如果这个特定问题被标记为已修复,您应该尝试抓住那个。