-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0039
                                                             JPCERT/CC
                                                     2021-09-13（新規）
                                                     2021-09-29（更新）

                  <<< JPCERT/CC Alert 2021-09-13 >>>

Ghostscriptの任意のコマンド実行が可能な脆弱性（CVE-2021-3781）に関する注意喚起

           https://www.jpcert.or.jp/at/2021/at210039.html


I. 概要
2021年9月9日（現地時間）、Ghostscriptの提供元であるArtifex Software社
が、Ghostscriptにおける任意のコマンド実行が可能な脆弱性（CVE-2021-3781）
に関するセキュリティアドバイザリを公開しました。Ghostscriptが動作する
サーバーにおいて、攻撃者が本脆弱性を悪用するコンテンツを処理させること
で、任意のコマンドを実行する可能性があります。

    Artifex Software
    SECURITY ADVISORY SEPTEMBER 9, 2021 - CVE-2021-3781
    https://ghostscript.com/CVE-2021-3781.html

JPCERT/CCは、本脆弱性の詳細を解説するとみられる資料や、脆弱性を悪用す
る実証コードがすでに公開されていることを確認しています。

GhostscriptあるいはGhostscriptに依存するソフトウェアを使用している場合、
Artifex Software社や各ディストリビューターなどの情報を確認し、速やかに
対策を適用することを推奨します。


II. 対象
対象となる製品とバージョンは次のとおりです。

  - Ghostscript/GhostPDL 9.54.0
  - Ghostscript/GhostPDL 9.53.3
  - Ghostscript/GhostPDL 9.52
  - Ghostscript/GhostPDL 9.50

Ghostscriptに依存するソフトウェアや、ディストリビューターが提供してい
るGhostscriptを利用している場合は、ソフトウェアの提供元やディストリビュー
ターからの情報も参照してください。


III. 対策
Artifex Software社から、本脆弱性を修正するパッチが公開されています。

また、本脆弱性を修正するGhostscript/GhostPDL 9.55.0は、2021年9月末頃に
公開される予定とのことです。

** 更新: 2021年9月29日追記 *******************************************
2021年9月27日（現地時間）、Artifex Software社から本脆弱性を修正したバー
ジョンが公開されました。公開された情報を参照のうえ、修正バージョンの適
用をご検討ください。

    Artifex Software
    Version 9.55.0 (2021-09-27)
    https://www.ghostscript.com/doc/9.55.0/News.htm
**********************************************************************


IV. 緩和策
本脆弱性への早期の対策実施が難しい場合、脆弱性を悪用する攻撃の影響を軽
減するため、ImageMagickなどのGhostscriptを呼び出すプログラムにおいて、
フィルター設定の見直しを検討することを推奨します。

これまでに公開されている情報では、悪性なSVG形式のファイルを読み込ませ
ることで脆弱性を悪用できることが確認されています。なお、設定変更により
SVG形式のファイルの処理ができなくなるなどの影響が発生する可能性がある
ため、状況に応じて、実施を検討してください。

    ImageMagick Studio LLC
    Security Policy
    https://imagemagick.org/script/security-policy.php


V. 参考情報
    Artifex Software
    SECURITY ADVISORY SEPTEMBER 9, 2021 - CVE-2021-3781
    https://ghostscript.com/CVE-2021-3781.html


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2021-09-13 初版
2021-09-29 「III. 対策」の更新

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp




-----BEGIN PGP SIGNATURE-----
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=iUHu
-----END PGP SIGNATURE-----