◆概要
2021 年 9 月に、画像処理ソフトウェアである GhostScript に、任意のコードが実行可能となる脆弱性が報告されています。脆弱性を悪用するファイルを脆弱な GhostScript で変換処理した場合は、ファイルに埋め込まれた悪意のある命令が実行されてしまいます。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
GhostScript は ImageMagick などの画像処理ソフトウェアに組み込まれているため、画像処理ソフトを用いたアプリケーションを Web サーバなどに公開している場合は当該脆弱性の影響を受ける可能性があります。画像アップロード機能を持つ Web アプリケーションなどに GhostScript を用いた画像処理ソフトが使用されている場合は、攻撃者が脆弱性を悪用するために作成した画像ファイルをアップロードされ、サーバに侵入されてしまいます。ソフトウェアアップデート情報を確認し、アップデートを適用することにより、脆弱性に対策してください。
◆深刻度(CVSS)
[CVSS v3.1]
本記事執筆時点で CVSS 値の情報の公開を確認していません。
◆影響を受けるソフトウェア
以下のバージョンの GHostScript が当該脆弱性の影響を受けると報告されています。
- Ghostscript/GhostPDL 9.54.0
- Ghostscript/GhostPDL 9.53.3
- Ghostscript/GhostPDL 9.52
- Ghostscript/GhostPDL 9.50
ImageMagick をはじめとする GhostScript に依存する製品の影響範囲に関しては、各ソフトウェアや OS ディストリビューションの情報を参考にしてください。
◆解説
画像処理ソフトである GhostScript に、悪意のあるファイルの変換により任意のコマンドが実行可能となる脆弱映画報告されています。
2021 年 9 月に、画像処理ソフトウェアである GhostScript に、任意のコードが実行可能となる脆弱性が報告されています。脆弱性を悪用するファイルを脆弱な GhostScript で変換処理した場合は、ファイルに埋め込まれた悪意のある命令が実行されてしまいます。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
GhostScript は ImageMagick などの画像処理ソフトウェアに組み込まれているため、画像処理ソフトを用いたアプリケーションを Web サーバなどに公開している場合は当該脆弱性の影響を受ける可能性があります。画像アップロード機能を持つ Web アプリケーションなどに GhostScript を用いた画像処理ソフトが使用されている場合は、攻撃者が脆弱性を悪用するために作成した画像ファイルをアップロードされ、サーバに侵入されてしまいます。ソフトウェアアップデート情報を確認し、アップデートを適用することにより、脆弱性に対策してください。
◆深刻度(CVSS)
[CVSS v3.1]
本記事執筆時点で CVSS 値の情報の公開を確認していません。
◆影響を受けるソフトウェア
以下のバージョンの GHostScript が当該脆弱性の影響を受けると報告されています。
- Ghostscript/GhostPDL 9.54.0
- Ghostscript/GhostPDL 9.53.3
- Ghostscript/GhostPDL 9.52
- Ghostscript/GhostPDL 9.50
ImageMagick をはじめとする GhostScript に依存する製品の影響範囲に関しては、各ソフトウェアや OS ディストリビューションの情報を参考にしてください。
◆解説
画像処理ソフトである GhostScript に、悪意のあるファイルの変換により任意のコマンドが実行可能となる脆弱映画報告されています。
