其实笔者本来是想技术性地分析一下 CVE-2024-29510 Ghostscript 漏洞的影响。因为之前已经写过一篇选择发行版的方式:
但开始分析后,就发现自己在这篇文章中默认了一件事:
发行版的厂商会及时修补漏洞。但实际并不一定。
所以,通过观察厂商对漏洞修补的态度和及时性,明晰厂商的供应链关系,也是在国产化替代过程中选择合适自己的操作系统的一种方法。
笔者:国际认证信息系统审计师、软考系统分析师、软件工程硕士
先说说 Ghostscript CVE-2024-29510 这个漏洞的基本情况[1]。
该漏洞危险等级评分是 5.5/10,也就是中等程度。但随着对该漏洞的远程代码执行 POC 的发布,鉴于 Ghostscript 被使用的广泛程度,安全社区普遍认为其危险等级被严重低估。
Ghostscript 一定程度上属于 Linux 发行版中“默默无闻”的组件之一。但这个组件的重要性对于无论是桌面应用或是 WEB 服务都很高。