一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月13日、Ghostscriptにおける任意のコマンド実行が可能な脆弱性について注意喚起を発表した。影響を受けるシステムは以下の通り。
Ghostscript/GhostPDL 9.54.0
Ghostscript/GhostPDL 9.53.3
Ghostscript/GhostPDL 9.52
Ghostscript/GhostPDL 9.50
Ghostscriptの提供元であるArtifex Software社は現地時間9月9日に、Ghostscriptにおける任意のコマンド実行が可能な脆弱性(CVE-2021-3781)に関するセキュリティアドバイザリを公開した。Ghostscriptが動作するサーバにて、攻撃者が本脆弱性を悪用するコンテンツを処理させることで任意のコマンドを実行する可能性がある。
JPCERT/CCでは既に、本脆弱性の詳細を解説するとみられる資料や脆弱性を悪用する実証コードの公開を確認している。
Artifex Software社では、本脆弱性を修正するパッチを公開しており、また、本脆弱性を修正するGhostscript/GhostPDL 9.55.0は9月末頃に公開予定。
JPCERT/CCでは、本脆弱性への早期の対策実施が難しい場合は、脆弱性を悪用する攻撃の影響を軽減するために、ImageMagickなどのGhostscriptを呼び出すプログラムにてフィルター設定の見直しを検討することを推奨している。
Ghostscript/GhostPDL 9.54.0
Ghostscript/GhostPDL 9.53.3
Ghostscript/GhostPDL 9.52
Ghostscript/GhostPDL 9.50
Ghostscriptの提供元であるArtifex Software社は現地時間9月9日に、Ghostscriptにおける任意のコマンド実行が可能な脆弱性(CVE-2021-3781)に関するセキュリティアドバイザリを公開した。Ghostscriptが動作するサーバにて、攻撃者が本脆弱性を悪用するコンテンツを処理させることで任意のコマンドを実行する可能性がある。
JPCERT/CCでは既に、本脆弱性の詳細を解説するとみられる資料や脆弱性を悪用する実証コードの公開を確認している。
Artifex Software社では、本脆弱性を修正するパッチを公開しており、また、本脆弱性を修正するGhostscript/GhostPDL 9.55.0は9月末頃に公開予定。
JPCERT/CCでは、本脆弱性への早期の対策実施が難しい場合は、脆弱性を悪用する攻撃の影響を軽減するために、ImageMagickなどのGhostscriptを呼び出すプログラムにてフィルター設定の見直しを検討することを推奨している。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)