各位
https://www.jpcert.or.jp/at/2021/at210039.html
I. 概要2021年9月9日(現地時間)、Ghostscriptの提供元であるArtifex Software社が、Ghostscriptにおける任意のコマンド実行が可能な脆弱性(CVE-2021-3781)に関するセキュリティアドバイザリを公開しました。Ghostscriptが動作するサーバーにおいて、攻撃者が本脆弱性を悪用するコンテンツを処理させることで、任意のコマンドを実行する可能性があります。
Artifex Software
SECURITY ADVISORY SEPTEMBER 9, 2021 - CVE-2021-3781
https://ghostscript.com/CVE-2021-3781.html
JPCERT/CCは、本脆弱性の詳細を解説するとみられる資料や、脆弱性を悪用する実証コードがすでに公開されていることを確認しています。
GhostscriptあるいはGhostscriptに依存するソフトウェアを使用している場合、Artifex Software社や各ディストリビューターなどの情報を確認し、速やかに対策を適用することを推奨します。
II. 対象対象となる製品とバージョンは次のとおりです。
- Ghostscript/GhostPDL 9.54.0
- Ghostscript/GhostPDL 9.53.3
- Ghostscript/GhostPDL 9.52
- Ghostscript/GhostPDL 9.50
Ghostscriptに依存するソフトウェアや、ディストリビューターが提供しているGhostscriptを利用している場合は、ソフトウェアの提供元やディストリビューターからの情報も参照してください。
III. 対策Artifex Software社から、本脆弱性を修正するパッチが公開されています。
また、本脆弱性を修正するGhostscript/GhostPDL 9.55.0は、2021年9月末頃に公開される予定とのことです。
** 更新: 2021年9月29日追記 ****************
2021年9月27日(現地時間)、Artifex Software社から本脆弱性を修正したバージョンが公開されました。公開された情報を参照のうえ、修正バージョンの適用をご検討ください。
Artifex Software
Version 9.55.0 (2021-09-27)
https://www.ghostscript.com/doc/9.55.0/News.htm
**************************************************
IV. 緩和策本脆弱性への早期の対策実施が難しい場合、脆弱性を悪用する攻撃の影響を軽減するため、ImageMagickなどのGhostscriptを呼び出すプログラムにおいて、フィルター設定の見直しを検討することを推奨します。
これまでに公開されている情報では、悪性なSVG形式のファイルを読み込ませることで脆弱性を悪用できることが確認されています。なお、設定変更によりSVG形式のファイルの処理ができなくなるなどの影響が発生する可能性があるため、状況に応じて、実施を検討してください。
ImageMagick Studio LLC
Security Policy
https://imagemagick.org/script/security-policy.php
V. 参考情報
Artifex Software
SECURITY ADVISORY SEPTEMBER 9, 2021 - CVE-2021-3781
https://ghostscript.com/CVE-2021-3781.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2021-09-13 初版
2021-09-29 「III. 対策」の更新
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT-AT-2021-0039
JPCERT/CC
2021-09-13(新規)
2021-09-29(更新)
JPCERT/CC Alert 2021-09-13
Ghostscriptの任意のコマンド実行が可能な脆弱性(CVE-2021-3781)に関する注意喚起https://www.jpcert.or.jp/at/2021/at210039.html
I. 概要2021年9月9日(現地時間)、Ghostscriptの提供元であるArtifex Software社が、Ghostscriptにおける任意のコマンド実行が可能な脆弱性(CVE-2021-3781)に関するセキュリティアドバイザリを公開しました。Ghostscriptが動作するサーバーにおいて、攻撃者が本脆弱性を悪用するコンテンツを処理させることで、任意のコマンドを実行する可能性があります。
Artifex Software
SECURITY ADVISORY SEPTEMBER 9, 2021 - CVE-2021-3781
https://ghostscript.com/CVE-2021-3781.html
JPCERT/CCは、本脆弱性の詳細を解説するとみられる資料や、脆弱性を悪用する実証コードがすでに公開されていることを確認しています。
GhostscriptあるいはGhostscriptに依存するソフトウェアを使用している場合、Artifex Software社や各ディストリビューターなどの情報を確認し、速やかに対策を適用することを推奨します。
II. 対象対象となる製品とバージョンは次のとおりです。
- Ghostscript/GhostPDL 9.54.0
- Ghostscript/GhostPDL 9.53.3
- Ghostscript/GhostPDL 9.52
- Ghostscript/GhostPDL 9.50
Ghostscriptに依存するソフトウェアや、ディストリビューターが提供しているGhostscriptを利用している場合は、ソフトウェアの提供元やディストリビューターからの情報も参照してください。
III. 対策Artifex Software社から、本脆弱性を修正するパッチが公開されています。
また、本脆弱性を修正するGhostscript/GhostPDL 9.55.0は、2021年9月末頃に公開される予定とのことです。
** 更新: 2021年9月29日追記 ****************
2021年9月27日(現地時間)、Artifex Software社から本脆弱性を修正したバージョンが公開されました。公開された情報を参照のうえ、修正バージョンの適用をご検討ください。
Artifex Software
Version 9.55.0 (2021-09-27)
https://www.ghostscript.com/doc/9.55.0/News.htm
**************************************************
IV. 緩和策本脆弱性への早期の対策実施が難しい場合、脆弱性を悪用する攻撃の影響を軽減するため、ImageMagickなどのGhostscriptを呼び出すプログラムにおいて、フィルター設定の見直しを検討することを推奨します。
これまでに公開されている情報では、悪性なSVG形式のファイルを読み込ませることで脆弱性を悪用できることが確認されています。なお、設定変更によりSVG形式のファイルの処理ができなくなるなどの影響が発生する可能性があるため、状況に応じて、実施を検討してください。
ImageMagick Studio LLC
Security Policy
https://imagemagick.org/script/security-policy.php
V. 参考情報
Artifex Software
SECURITY ADVISORY SEPTEMBER 9, 2021 - CVE-2021-3781
https://ghostscript.com/CVE-2021-3781.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2021-09-13 初版
2021-09-29 「III. 対策」の更新
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
前
コメント
共 有
