Critical Ghostscript Vulnerability Exposes Systems: Immediate Update Recommended
2024/02/19 SecurityOnline — PostScript/PDF ファイルの処理に広く使用されている、Ghostscript インタプリタの古いバージョンに、深刻な脆弱性 CVE-2020-36773 が発見された。この脆弱性の悪用に成功した攻撃者は、任意のコード実行やサービス拒否状態を、引き起こす可能性を得るという。
Ghostscript は、多数のデスクトップ・アプリケーションや Linux ディストリビューションに存在するため、その攻撃対象は広範となる。この脆弱性は、Ghostscript による文書のレンダリングや印刷処理において、 特別に細工された PDF ファイルや PostScript ファイルが開かれることで誘発される。問題とされる脆弱なソフトウェアを以下に示す:
- LibreOffice
- GIMP
- Inkscape
- ImageMagick
- CUPS printing system
深刻度と緩和策
NIST (National Institute of Standards and Technology) は、この脆弱性 CVE-2020-36773 (CVSS v3.1:9.8) の深刻度を “Critical” に分類している。
NIST は、この脆弱性について、「Artifex Ghostscript の 9.53.0 未満には、境界外書き込みと解放済みメモリの使用の脆弱性が存在する。具体的に言うと、”devices/vector/gdevtxtw.c” (txtwrite 用) において、PDF 文書内の1つの文字コードが、合字などの複数の Unicode コードポイントにマッピングされる可能性に起因する」と詳述している。
幸いなことに Artifex Software は、2020年9月にリリースした Ghostscript/GhostPDL 9.53.0 で、この欠陥に対処している。また、2023年11月にリリースされた最新バージョンの Ghostscript 10.02.1では、最新の保護対策が適用されている。
推奨される対策
ユーザーに推奨されるのは、直ちに以下の対策を講じることだ:
- システムを評価する: Ghostscript を使用しているシステムとアプリケーションを特定する。
- アップデートの優先順位を決める:Ghostscript の全てのインスタンスを、バージョン 9.53.0 以降に速やかに更新する。
- 細心の注意を払う:信頼できないソースからの PDF/PostScript ファイルを扱う場合は、厳重に警戒して対処する。
- 定期的にパッチを適用する:パッチを継続的に適用して、今後の脆弱性のリスクを最小限に抑える。
Ghostscript について、お隣のキュレーション・チームに聞いてみたら、脆弱性が出ると RedHat/Ubuntu/Debian などに、サッと広がるとのことでした。このブログでは、2023/07/12 の「Ghostscript PDF Lib の深刻な RCE 脆弱性 CVE-2023-3664 が FIX」を拾っていました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.