CVE-2022-1350

一、漏洞信息
漏洞编号：CVE-2022-1350
漏洞归属组件：ghostscript
漏洞归属的版本：9.55.0
CVSS V3.0分值：
BaseScore：7.8 High
Vector：CVSS：3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞简述：
A vulnerability classified as problematic was found in GhostPCL 9.55.0. This vulnerability affects the function chunk_free_object of the file gsmchunk.c. The manipulation with a malicious file leads to a memory corruption. The attack can be initiated remotely but requires user interaction. The exploit has been disclosed to the public as a POC and may be used. It is recommended to apply the patches to fix this issue.
漏洞公开时间：2022-04-14 15:15
漏洞创建时间：2022-04-14 21:56:54
漏洞详情参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2022-1350

更多参考(点击展开)

参考来源	参考链接	来源链接
MISC	https://bugs.ghostscript.com/show_bug.cgi?id=705156
MISC	https://vuldb.com/?id.197290
MISC	https://bugs.ghostscript.com/attachment.cgi?id=22323
redhat	https://access.redhat.com/security/cve/CVE-2022-1350
suse_bugzilla	https://bugs.ghostscript.com/show_bug.cgi?id=705156
suse_bugzilla	https://vuldb.com/?id.197290
suse_bugzilla	https://bugs.ghostscript.com/attachment.cgi?id=22323
suse_bugzilla	https://bugzilla.redhat.com/show_bug.cgi?id=2075523
suse_bugzilla	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-1350
suse_bugzilla	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1350
suse_bugzilla	http://www.cvedetails.com/cve/CVE-2022-1350/
redhat_bugzilla	https://bugs.ghostscript.com/show_bug.cgi?id=705156
redhat_bugzilla	https://vuldb.com/?id.197290
ubuntu	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1350
ubuntu	https://vuldb.com/?id.197290
ubuntu	https://bugs.ghostscript.com/show_bug.cgi?id=705156
ubuntu	https://bugs.ghostscript.com/attachment.cgi?id=22323
ubuntu	https://nvd.nist.gov/vuln/detail/CVE-2022-1350
ubuntu	https://launchpad.net/bugs/cve/CVE-2022-1350
ubuntu	https://security-tracker.debian.org/tracker/CVE-2022-1350
MISC	https://bugs.ghostscript.com/show_bug.cgi?id=705156
MISC	https://vuldb.com/?id.197290
MISC	https://bugs.ghostscript.com/attachment.cgi?id=22323

漏洞分析指导链接：
https://gitee.com/openeuler/cve-manager/blob/master/cve-vulner-manager/doc/md/manual.md
漏洞数据来源:
其它
漏洞补丁信息：

详情(点击展开)

无

二、漏洞分析结构反馈
影响性分析说明：
在Ghostscript 9.55.0中发现了一个漏洞。该漏洞影响了gsmchunk.c文件的chunk_free_object函数。使用恶意文件进行操作会导致内存损坏。可以远程攻击，但需要和用户互动。该漏洞已经公开POC，建议使用补丁来修复这个问题。
openEuler评分：
7.8
Vector：CVSS：3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
受影响版本排查(受影响/不受影响)：
1.openEuler-20.03-LTS-SP1(9.52):受影响
2.openEuler-20.03-LTS-SP2(9.52):受影响
3.openEuler-20.03-LTS-SP3(9.52):受影响
4.openEuler-22.03-LTS(9.55.0):受影响
5.openEuler-24.03-LTS-Next(9.56.1):
6.openEuler-22.03-LTS-SP4(9.55.0):
7.master(9.56.1):

修复是否涉及abi变化(是/否)：
1.openEuler-20.03-LTS-SP1(9.52):否
2.openEuler-20.03-LTS-SP2(9.52):否
3.openEuler-20.03-LTS-SP3(9.52):否
4.openEuler-22.03-LTS(9.55.0):否
5.openEuler-24.03-LTS-Next(9.56.1):
6.openEuler-22.03-LTS-SP4(9.55.0):
7.master(9.56.1):

@yanan-rock ,@xiezhipeng1 ,@licihua ,@openeuler-basic ,@pecs ,@hanxinke ,@zhuchunyi ,@miao_kaibo ,@zhujianwei001 ,@overweight ,@lvying6 
**issue处理注意事项:** 
**1. 当前issue受影响的分支提交pr时, 须在pr描述中填写当前issue编号进行关联, 否则无法关闭当前issue;**
**2. 模板内容需要填写完整, 无论是受影响或者不受影响都需要填写完整内容,未引入的分支不需要填写, 否则无法关闭当前issue;**
**3. 以下为模板中需要填写完整的内容, 请复制到评论区回复, 注: 内容的标题名称(影响性分析说明, openEuler评分, 受影响版本排查(受影响/不受影响), 修复是否涉及abi变化(是/否))不能省略,省略后cve-manager将无法正常解析填写内容.**
************************************************************************
影响性分析说明:

openEuler评分: (评分和向量)

受影响版本排查(受影响/不受影响): 
1.openEuler-20.03-LTS-SP1(9.52):
2.openEuler-20.03-LTS-SP2(9.52):
3.openEuler-20.03-LTS-SP3(9.52):
4.openEuler-22.03-LTS(9.55.0):

修复是否涉及abi变化(是/否)：
1.openEuler-20.03-LTS-SP1(9.52):
2.openEuler-20.03-LTS-SP2(9.52):
3.openEuler-20.03-LTS-SP3(9.52):
4.openEuler-22.03-LTS(9.55.0):

-----------------------------------------------------------------------
issue处理具体操作请参考: 
https://gitee.com/openeuler/cve-manager/blob/master/cve-vulner-manager/doc/md/manual.md
pr关联issue具体操作请参考:
https://gitee.com/help/articles/4142

参考网址	关联pr	状态	补丁链接
https://bugzilla.suse.com/show_bug.cgi?id=CVE-2022-1350
https://ubuntu.com/security/CVE-2022-1350
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2022-1350
https://nvd.nist.gov/vuln/detail/CVE-2022-1350
https://security-tracker.debian.org/tracker/CVE-2022-1350

说明：抱歉，当前工具暂未找到推荐补丁，请人工查找或者之后评论'/find-patch'尝试再次查找。
若人工查找到补丁，烦请在此issue下评论 '/report-patch 参考网址补丁链接1,补丁链接2' 便于我们不断优化工具，不胜感激。
如 /report-patch https://security-tracker.debian.org/tracker/CVE-2021-3997 https://github.com/systemd/systemd/commit/5b1cf7a9be37e20133c0208005274ce4a5b5c6a1

社区暂无补丁

影响性分析说明:在Ghostscript 9.55.0中发现了一个漏洞。该漏洞影响了gsmchunk.c文件的chunk_free_object函数。使用恶意文件进行操作会导致内存损坏。可以远程攻击，但需要和用户互动。该漏洞已经公开POC，建议使用补丁来修复这个问题。

openEuler评分: (评分和向量) N/A
NVD score not yet provided.

受影响版本排查(受影响/不受影响):
1.openEuler-20.03-LTS-SP1(9.52):受影响
2.openEuler-20.03-LTS-SP2(9.52):受影响
3.openEuler-20.03-LTS-SP3(9.52):受影响
4.openEuler-22.03-LTS(9.55.0):受影响

修复是否涉及abi变化(是/否)：
1.openEuler-20.03-LTS-SP1(9.52):否
2.openEuler-20.03-LTS-SP2(9.52):否
3.openEuler-20.03-LTS-SP3(9.52):否
4.openEuler-22.03-LTS(9.55.0):否

src-openEuler/ghostscript

内容风险标识

评论 (6)

src-openEuler/ghostscript .gitee-modal { width: 500px !important; }

内容风险标识

CVE-2022-1350

评论 (6)

搜索帮助

src-openEuler/ghostscript