新規ご契約の方
ご契約中のお客様
SiteLock

トップ » ニュース

Ghostscript に任意のコードが実行可能な脆弱性に関する注意喚起

2017年05月02日

お客さま各位

平素は格別のご高配を賜り厚く御礼申し上げます。

JVNVUより、Ghostscript に任意のコードが実行可能な脆弱性が公表されました。

本脆弱性を悪用された場合、お客さまサーバー内情報の破壊や改ざん、
漏えいが発生する可能性もございますため、ご利用のお客さまにおかれましては
下記をご確認いただくと共に、パッチ・緩和策の適用等のご対応を
行っていただけますようお願い申し上げます。

【概要】
Ghostscript に含まれる .rsdparams には、type confusion の問題がございます。
細工された .eps ファイルを処理することで -dSAFER オプションが回避され、
結果として任意のコードを実行される可能性がございます。
※本脆弱性を使用した攻撃活動は既に確認されています

【対象】
Ghostscript 9.21 およびそれ以前のバージョンをご利用で、
cgi等で Ghostscript を使用して.eps ファイルの処理を行っているお客さま

【対策】
下記パッチの適用をお願いいたします。

[PATCH] Bug 697799: have .eqproc check its parameters
https://git.ghostscript.com/?p=ghostpdl.git;a=patch;h=4f83478c88

[PATCH] Bug 697799: have .rsdparams check its parameters
https://git.ghostscript.com/?p=ghostpdl.git;a=patch;h=04b37bbce1

また、ImageMagick において本脆弱性の影響を緩和するには、
設定ファイル(policy.xml) の設定を変更し、Postscript の処理を制限してください。

【詳細】
■JVNVU#98641178 Ghostscript に任意のコードが実行可能な脆弱性
http://jvn.jp/vu/JVNVU98641178/


Back to Top