[安全警告] ODOO-SA-2017-05-05-1 Ghostscript 漏洞造成的远程代码执行。
-
这是一个5月5日发布的严重的安全漏洞警告。
漏洞不是由Odoo本身造成的,而是因为Ghostscript的严重漏洞使得恶意用户可以将一个感染的EPS文件上传Odoo,Odoo在调用有漏洞的Ghostscript处理EPS文件时,导致恶意代码通过Odoo控制系统。
详情请参见:
https://github.com/odoo/odoo/issues/16837处理方法:
- 如果你没有用到Ghostscript,请把它卸载
- 9.21及以前版本的Ghostscript都需要升级到最新的版本,如果需要保留ghostscript
- 更新到最新的Odoo代码,防止调用ghostscript处理EPS文件
