Ghostscript においてパイプ処理の検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2024.07.19(金)

Ghostscript においてパイプ処理の検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report)

2023 年 6 月に修正された Ghostscript の脆弱性を悪用するエクスプロイトコードが公開されています。

脆弱性と脅威 エクスプロイト
Ghostscript においてパイプ処理の検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report)(画像はイメージです)
Ghostscript においてパイプ処理の検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report)(画像はイメージです) 全 1 枚 拡大写真
◆概要
 2023 年 6 月に修正された Ghostscript の脆弱性を悪用するエクスプロイトコードが公開されています。攻撃者は、脆弱な Ghostscript を使用している利用者またはアプリケーションに悪意のあるファイルを開かせることで、遠隔からの任意のコード実行が可能となります。ソフトウェアのアップデートにより対策してください。

◆分析者コメント
 本記事では Ghostscript をコマンドラインから起動して脆弱性検証をしていますが、Ghostscript は Inkscape をはじめとする画像処理ソフトウェアに幅広く導入されているため、意識せず脆弱性が存在するバージョンのソフトウェアを利用している可能性は十分にあります。また、画像処理をする機能を備えた Web アプリケーションをインターネット上に公開している場合は十分に注意が必要です。ソフトウェアのバージョンを確認してアップデートすることで対策しましょう。

◆深刻度(CVSS)
[CVSS v3.1]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-36664&vector=AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H&version=3.1&source=NIST

◆影響を受けるソフトウェア
 バージョン 10.01.2 およびそれよりも古い Ghostscript が当該脆弱性の影響を受けると報告されています。Linux OS でパッケージ化された Ghostscript を使用している場合は、各 OS のディストリビューションの情報を確認してください。

◆解説
 画像変換ソフトウェアである Ghostscript に、遠隔からのコード実行につながる入力値検証不備の脆弱性が報告されています。

 脆弱性は、Ghostscript が処理対象のファイルの内容を検証する際に、入力値を検証しないことに起因しています。脆弱なバージョンの Ghostscript ではパイプ機能を使用するためのシンタックスである %pipe% という文字列が正当に使われているかを検証しないため、入力されたファイルをインタプリタで解析する際にパイプ機能を用いて続くコマンドを実行してしまいます。攻撃者はGhostscript に %pipe% で始まるコードに続けて OS コマンドを指定した行をPS 形式または EPS 形式の PostScript ファイルに埋め込み、そのファイルを脆弱な Ghostscript の利用者に開かせることで、ファイルに埋め込んだ任意の OS コマンドの実行を強制できます。

当該脆弱性の修正は以下の Commit です。

  https://github.com/ArtifexSoftware/ghostpdl/commit/5f56c6f6f989816fc9cc671116740acecbed5b6c#diff-bbe58001c850a96f31437583f72fe9145a87208e15ffe6ffa66113813aecf192R1080

%pipe% という文字列で始まる行を除外する処理を追加して、脆弱性に対策しています。

◆対策
 バージョン 10.01.3 およびそれよりも新しいものにアップデートしてください。Linux OS でパッケージ化された Ghostscript を使用している場合は、各 OS のディストリビューションの情報を確認してください。

◆関連情報
[1] Ghostscript 公式 Git
  https://git.ghostscript.com/?p=ghostpdl.git;a=commit;h=0974e4f2ac0005d3731e0b5c13ebc7e965540f4d
[2] Ghostscript 公式 Git
  https://git.ghostscript.com/?p=ghostpdl.git;a=commit;h=505eab7782b429017eb434b2b95120855f2b0e3c
[3] National Vulnerability Database (NVD)
  https://nvd.nist.gov/vuln/detail/CVE-2023-36664
[4] CVE Mitre
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36664

◆エクスプロイト
 以下の Web サイトにて、当該脆弱性の悪用による任意のファイル作成を試みるエクスプロイトコードが公開されています。

  GitHub - jakabakos/CVE-2023-36664-Ghostscript-command-injection
  https://github.com/jakabakos/CVE-2023-36664-Ghostscript-command-injection/blob/main/CVE_2023_36664_exploit.py

#--- で始まる行は執筆者によるコメントです。

《株式会社ラック デジタルペンテスト部》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

    イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

  2. 新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働

    新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働

  3. 2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

    2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

  4. 国際手配のランサム犯 逮捕されずに世界中を旅行

    国際手配のランサム犯 逮捕されずに世界中を旅行

  5. イセトーへのランサムウェア攻撃で豊田市の推定 42 万人分の個人情報が漏えい、被害発生時は契約に基づき対応

    イセトーへのランサムウェア攻撃で豊田市の推定 42 万人分の個人情報が漏えい、被害発生時は契約に基づき対応

ランキングをもっと見る
PageTop