Vážné bezpečnostní chyby v Ghostscriptu (diskuse)

Přihlášení | Registrace

napište » Zprávičky

To nej roku 2025 ve službě Steam

dnes 18:55 | IT novinky

Společnost Valve publikovala přehled To nej roku 2025 ve službě Steam aneb ohlédnutí za nejprodávanějšími, nejhranějšími a dalšími nej hrami roku 2025.

Ladislav Hagara | Komentářů: 0

Výsledky průzkumu mezi uživateli Blenderu

dnes 16:11 | Komunita

Byly publikovány výsledky průzkumu mezi uživateli Blenderu uskutečněného v říjnu a listopadu 2025. Zúčastnilo se více než 5000 uživatelů.

Ladislav Hagara | Komentářů: 0

CVE-2025-14847 aneb MongoBleed

dnes 03:33 | Bezpečnostní upozornění

V dokumentově orientované databázi MongoDB byla nalezena a v upstreamu již opravena kritická bezpečností chyba CVE-2025-14847 aneb MongoBleed.

Ladislav Hagara | Komentářů: 0

Nalezena kopie Unixu V4

včera 23:11 | IT novinky

Při úklidu na Utažské univerzitě se ve skladovacích prostorách náhodou podařilo nalézt magnetickou pásku s kopií Unixu V4. Páska byla zaslána do počítačového muzea, kde se z pásky úspěšně podařilo extrahovat data a Unix spustit. Je to patrně jediný známý dochovaný exemplář tohoto 52 let starého Unixu, prvního vůbec programovaného v jazyce C.

🇨🇽 | Komentářů: 1

FFmpeg nechal smazat repozitář porušující LGPL

včera 15:55 | Komunita

FFmpeg nechal kvůli porušení autorských práv odstranit z GitHubu jeden z repozitářů patřících čínské technologické firmě Rockchip. Důvodem bylo porušení LGPL ze strany Rockchipu. Rockchip byl FFmpegem na porušování LGPL upozorněn již téměř před dvěma roky.

🇨🇽 | Komentářů: 7

witr (why-is-this-running)

včera 15:44 | Zajímavý software

K dispozici je nový CLI nástroj witr sloužící k analýze běžících procesů. Název je zkratkou slov why-is-this-running, 'proč tohle běží'. Klade si za cíl v 'jediném, lidsky čitelném, výstupu vysvětlit odkud daný spuštěný proces pochází, jak byl spuštěn a jaký řetězec systémů je zodpovědný za to, že tento proces právě teď běží'. Witr je napsán v jazyce Go.

🇨🇽 | Komentářů: 1

Yazi 25.12.29

včera 15:33 | Zajímavý software

Yazi je správce souborů běžící v terminálu. Napsán je v programovacím jazyce Rust. Podporuje asynchronní I/O operace. Vydán byl v nové verzi 25.12.29. Instalovat jej lze také ze Snapcraftu.

Ladislav Hagara | Komentářů: 0

39C3 (Chaos Communication Congress)

26.12. 18:44 | Komunita

Od soboty do úterý probíhá v Hamburku konference 39C3 (Chaos Communication Congress) věnovaná také počítačové bezpečnosti nebo hardwaru. Program (jiná verze) slibuje řadu zajímavých přednášek. Streamy a záznamy budou k dispozici na media.ccc.de.

Ladislav Hagara | Komentářů: 0

Phoenix (Xserver)

26.12. 13:22 | Zajímavý software

Byl představen nový Xserver Phoenix, kompletně od nuly vyvíjený v programovacím jazyce Zig. Projekt Phoenix si klade za cíl být moderní alternativou k X.Org serveru.

🇨🇽 | Komentářů: 7

XLibre Xserver 25.1.0

26.12. 13:11 | Nová verze

XLibre Xserver byl 21. prosince vydán ve verzi 25.1.0, 'winter solstice release'. Od založení tohoto forku X.Org serveru se jedná o vůbec první novou minor verzi (inkrementovalo se to druhé číslo v číselném kódu verze).

🇨🇽 | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Kdo vám letos nadělí dárek?

Ježíšek (33%)

Santa Claus (1%)

Děda Mráz (23%)

La Befana (1%)

Odin (2%)

Laskakit (1%)

Někdo z rodiny (11%)

Já sám (11%)

Nikdo (18%)

Celkem 194 hlasů

Komentářů: 21, poslední dnes 18:58

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Zprávičky / Vážné bezpečnostní chyby v Ghostscriptu / Vážné bezpečnostní chyby v Ghostscriptu (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (1) ?

Vložit další komentář

23.8.2018 13:58 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Odpovědět | Sbalit | Link | Blokovat | Admin

Tak schvalne kdy updatujou vsechny ty dockery co bundlujou napr. wordpress s https://wordpress.org/plugins/gs-only-pdf-preview/.

Je to vtipne, jak si to rozbiji samy, kdyby nemeli potrebu vse bundlovat tak to za ne distro opravi behem hodin/dnu.

So long and thanks for all the botnets.

23.8.2018 14:12 cotyjsizapokemona
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Uplne stejne, jako aktualizace v jakekoliv distribuci. Az bude prislusny opraveny balicek dostupny v distru, ze ktereho image kontejneru vychazi, tak se to proste jenom rebuildne (to zahrnuje i stazeni novych balicku) a pusti z noveho image. Radsi bych si zjistil, jak ty veci funguji, nez bych zacal plkat nesmysly. :D

23.8.2018 14:26 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

To ze to docker umoznuje, neznamena ze se to tak v praxi pouziva ty pokemone.

23.8.2018 18:20 Kate | skóre: 9
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

To že můžeš updatovat svůj server neznamená že to dělají všichni. Pokud na to admin kašle, je asi celkem jedno jestli kašle na docker nebo na distro…

23.8.2018 18:33 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Naposledy. Cele je to o tom jak se to pouziva v praxi. Verejny linuxovy server neupdatuji jen nejvetsi neschopaci, prakticky kazdy updatuje. Docker containery jsou *v praxi* jeden velky bordel, kde se na to kasle (cest vyjimkam). To si muze kazdy overit sam treba nat tom dockerhubu. Badavejsi se muzou zamyslet proc to tak je. Docker jako technologie za to nemuze.

Ty uz ghostscript ve vsech docker container (jestli pouzivas) vypnuty mas? Kolik s tim bylo prace?

23.8.2018 18:44 cotyjsizapokemona
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Ano, ja uz jej vypnuty mam. Pro zajimavost jsem to udelal naprosto identicky, jako na ostrem systemu, jen s tim rozdilem, ze Dockerfile kopiruje dalsi novy config, rebuild image, spustil jsem novy deploy a je hotovo. :-)

Mej se krasne.

23.8.2018 19:00 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Tak z tveho setupu si srandu rozhodne nedelam, naopak to mas ocividne vychytany.

Ted uz jen kdyby takto ucili pouzivat docker vetsinu "devops" a nesirili ty bludy, ze nainstaluji hotovy kontejner, a tim to pro ne konci.

23.8.2018 19:24 Kate | skóre: 9
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

ghostscript v ničem používat nepotřebujem, ale jednak nepoužíváme dockerhub, ale udržujeme si vlastní repo kontejnerů (debian máme aktualizovaný každý den) a druhak je to pro nás v kubernetes clusuteru prostě triviální update kontejnerů. Takže to pro nás může mít v podstatě jen bezpečnostní výhodu – v případě 0day útoku má aspoň hacknutá komponenta v kontejneru omezené možnosti kam se může dostat.

Jinak těch serverů co někdo nainstaluje a pak se na ně vykašle je bohužel celkem dost, s tím „prakticky každý“ bych si nebyla úplně jistá :(

24.8.2018 10:23 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

To jistě, ale mnoho vývojářů považuje docker za skvělý právě proto, že tam mají přesně definované verze, které se jim nijak nemění. A nemusí nadávat na admina, který jim pod rukama neustále mění verze (rozuměj: updatuje os).

I já v tom vidím velké bezpečnostní riziko, zatímco distra mají své repositáře, podepsané, zkontrolované, reproducible builds, tak do kontejnerů si někteří zvykli stahovat věci náhodně z internetu (a to i v podobě celých image).

Heron

24.8.2018 11:31 Kate | skóre: 9
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Tak vždycky jde o přístup :) Mně naopak v produkci docker vyhovuje občas i z toho důvodu, že mě v případě potřeby nelimituje podkladový OS a jeho starší verze balíků. S balíčkovacím systémem zase jde donutit adminy k zmražení některých verzí… Prasit se bude s čímkoliv.

24.8.2018 13:19 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Rozhodne nepopiram ze sa da docker pouzit i spravne, a funguje pak vse lib a bezpecneji, nez bez kontejneru.

Narazim ale na to, ze lide kolem dockeru to praseni dost propaguji, protoze nezminuji co vsechno je potreba resit.

Nakonec cely ten "devops" pristup, kde se prenasi zodpovednost za ops na vyvojare. Co jsem mel cest s vyvojari v ruznych firmach, tak az na jednotky vyjimek, linux absolutne neznaji a o bezpecnosti vedi kulovy.

24.8.2018 13:53 Harvie.CZ
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Jsme porad na linuxovem portale, kde nejlepsim nastrojem je vlastni hlava? Nebo musi sam Vekly Soros zridit nejakou komisi pro dohled na dockerem, abys byl spokojenej? A co treba zakazat gcc, jeho autori prece propaguji, ze se v nem sa prelozit cokoliv, klidne i skodlivy kod...! Vubec nemaji nejaky audit, co v nem kdo prelozi, vzdyt to je strasidelne... Chtelo by to vubec zakazat vsechny x86 instrukce krome mov, aby nikdo nemohl psat ty zle programy (i kdyz mov je turingovsky uplna, takze co ted?)

24.8.2018 15:41 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

distro kolem ktereho by byla kultura "nainstaluj a nic nemusis resit, aktualizace jsou zbytecny" by si pouzival?

24.8.2018 16:03 Harvie.CZ
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Jakou kulturu si udelas, takovou ji mas, nejpouzivanejsi obrazy vidim ty oficialni, nechapu proc by minoritni pripady mely bejt reprezentativni.

24.8.2018 16:39 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

tak az na tvoje servery pujde naky ddos tak si vzpomen

24.8.2018 16:53 Harvie.CZ
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Nenut tu vsem svoji nekompetenci... Predstav si ze ne kazdej je teoretik a velkou cast z nas adminstrace systemu dobre zivi... A nestahujeme si do systemu kazdou blbost jen protoze je nekde na dockerhubu. Jak jsem psal na zacatku, nejlepsim nastrojem je vlastni kebule a kdo ji nema, toho uz stejne nic nespasi...

24.8.2018 21:34 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Srovnejme si treba https://docs.docker.com/engine/security/security/ s https://www.debian.org/security/:

docker - dlouhe povidani o tom, proc je vse skvele a bezpecne, a to teda jeste hodne marketingove, plne kecu jako " This means that since July 2008 (date of the 2.6.26 release ), namespace code has been exercised and scrutinized on a large number of production systems.", ve skutecnosti user namespaces je az 3.x kernel

debian - prvni nadpis "Keeping your Debian system secure" a povidani o tom co vse musis udelat aby to bezpecne bylo (sledovat alespon mailing listy, updatovat).

Samozrejme, pro docker je potreba delat to stejne (a s tema updatama pak je trochu vic prace).

24.8.2018 21:46 Harvie.CZ
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Aha, takze trolling, puvodne dobre zamaskovane

23.8.2018 14:30 docker
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Muzes to sledovat treba tady https://hub.docker.com/search/?isAutomated=0&isOfficial=0&page=1&pullCount=0&q=ghostscript&starCount=1 :-D

23.8.2018 18:58 docker
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Taky je dobry podivat se jak se pak doopravdy builduji ty zdrojove obrazy - treba rootfs.tar.xz debianu, z ktereho je pak ofiko python a django je mesic bez updatu.

23.8.2018 14:21 debian
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Věnuj se raději tomu bagrování, ty dockere

23.8.2018 15:08 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Tak ja uz mam opraveno (jeden prikaz), jak ses na tom ty?

23.8.2018 17:03 debian
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Kolik si jako myslíš, že na to docker/docker-compose/kubectl potřebuje příkazů? Že jsi technofob a žiješ v době kamenné to pro nás ostatní nedělá složitější.

23.8.2018 18:24 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Takze vsechny docker containery, ktery pouzivas (jestli vubec naky) uz jsou prebuildovany s vypnutym ghostscriptem jo? Z dockerhubu to tak vubec ale vubec nevypada. Tak aspon ze sis zaurazel.

23.8.2018 19:48 debian
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Proč s vypnutým, stačí když je aktualizovaný, což je naprosto stejné jako aktualizace systému.Navíc se dá samozřejmě v definici obrazu odinstalovat, když na něj máš pifku a neumíš si postavit vlastní obraz třeba na Debianu. Tak alespoň, že ses ztrapnil.

23.8.2018 20:01 bargista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Takze nemas, aktualizace na to v distrech nejsou. Ale aspon ze zas urazis.

Jinak ano, je pak potreba spravovat vlastni obrazy.

23.8.2018 20:07 debian
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Lol, ty děláš, jako by snad Wordpress byla nějaká výsada. Gratuluji, že se ti ho povedlo horko těžko nasadit, když to považuješ za úspěch. Já mám na dockeru postaveny vlastní systémy a nedělá mi nejmenší problém je udržovat zabezpečnéné a aktuální.

Pokud na to aktualizace nejsou, tak to není problém dockeru - když si někdo postaví image na nějakém no-name bundlu, tak bude z hlediska znalosti bezpečnosti na podobné úrovni jako někdo, kdo si WP hodí někam na VPS a už na to v životě nesáhne. To je ale problém vás amatérů, docker nemůže za vaše po*raný životy.

23.8.2018 20:19 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Problem dockeru to neni, ale je to problem zpusobeny dockerem, napriklad tim, ze nejde nastavit aby docker pracoval pouze s oficialnimi obrazy.

23.8.2018 20:25 bagrista
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Je to analogicke jako kdyby debian dovolil komukoliv nahrat cokoliv do debian repositaru (akorat by balicky tretich stran nemeli u sebe hvezdicku). Ale oni to jsou vlastne ty magicke kontejnery, tak to bude bezpecny.

23.8.2018 20:31 debian
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Lepší analogie by byla, že si někdo musí takové repozitáře explicitně dát do sources.list. Protože magicky se ti v obrazech neobjeví.

27.8.2018 04:27 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Odpovědět | Sbalit | Link | Blokovat | Admin

V debian-security o tom stále nebyla zmínka a já mám plně aktualizovaný Sid (ano, vím, že na unstable není security support, ale typicky tam někdo tu novou verzi nahraje, když pak backportuje opravu) a odkazovaný dokument mi stále spouští xcalc.

Netušíte někdo co jako bude?

7.9.2018 14:05 anton
Rozbalit Rozbalit vše Re: Vážné bezpečnostní chyby v Ghostscriptu

Ide zrejme o túto chybu:
https://security-tracker.debian.org/tracker/CVE-2018-16509
Zdá sa, že ešte nebola opravená (mám jessie). Ale možno ju zatiaľ blokujú inak. Napr. GIMP mi už nespúšťa kalkulačku z tiff obrázka, ale Vami odkazovaný pdf v Okulari stále funguje.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje