JPCERT/CC Alert 「Ghostscriptの任意のコマンド実行が可能な脆弱性(CVE-2021-3781)に関する注意喚起」(NetwingsJ)

これは、エンドユーザーにとって何を意味するものなのでしょうか。まず、Ghostscript って何? という事からお話を広げないといけませんね。僕も知りたいです。Ghostscript とは? から始めないと気が済まないんです。「ユーザーさんは、パッチを当ててくださいね」ということらしいのですよ。

Ghostscript/Wikipedia

どうやら、ベクターイメージ画像を、RIP(ネットワークのRIPではなく、ラスタライズ・イメージ・プロセッサのことです)として機能する。ドット画像に置き換えてプリンタなどに送るのがこれの役割のようです。主に、Adobe 社の定めている規格、Postscript ページ記述言語や、いま主流の PDF なんかにも使われているようです。また、各 OS にも内在していて、インタプリタとして動作しているようです。

で、今回何が問題だったのか。この脆弱性は、誰が対象で、どこに影響が出るのか、よーく見て行きたいと思っています。

JPCERT/CC/「Ghostscriptの任意のコマンド実行が可能な脆弱性(CVE-2021-3781)に関する注意喚起」

当該リンクは下記にありますよ。

まあ、ザっと見る限り、エンドユーザー様には直接関係のないお話ですが、サーバー管理者様におかれましては、ここをご覧いただいた上で、アプリケーションソフトのパッチ当てをされるとか、サーバーOSの更新を待つとかなされた方がよろしいかと存じます。また、印刷会社の方で、RIP サーバーを運用中の方におかれましても、外部と繋がっているネットワークをお持ちの場合は特に、上記リンク中の「緩和策」を取られ、情報セキュリティ対策を取られることがよろしいかと存じます。

これ以上、いい加減なことは申せません。以上、よろしくお願いいたします。

【Ghostscript 9.55.0 アップデートがあります】【09/29 21:40 追記】

ご関係の各位の方々は、9月27日(現地時間)に更新された、製造元でのアップデート案内(英語)に従って、身に覚えのない SVG ファイル、あるいは、PDF ファイルを読み込む際には努めて注意なされることと、今後の Ghostscript は、Postscript で記述されたものではなく、C 言語で新しく組み直されたものが提供されます。アプリケーションソフト開発会社様におかれましては、その実装がある場合、チーム内でよく話し合って、脆弱性について対応していただけるよう、お願いいたします。

出来ましたら頑張って英文読解されることをお勧めいたします。指示に従ってください。

当該リンク/Ghostscript さん

よろしくお願いいたします。

ではでは(・∀・)ノ

パソコンのお医者さん いい加減なことは書けません ネットウイングス 代表 田所憲雄 拝

ネットウイングス Netwings.JP

どうも(・∀・)ノ 兵庫県尼崎市のネットウイングスです。パソコンのお医者さんとして、「インターネットで愉しむ」と同時に「情報技術者同士の緩やかな連帯感の醸成」にもこだわっています。

このページに掲載された記事の名称や内容は、各社の商標または登録商標です。また、ページ内でご紹介しているソフトウェア、バージョン、URL等は、各ページの発行時点のものであり、その後、変更されている場合があります。なお、画像や文章の著作権は、ベルヌ条約・万国著作権条約・著作権法で定めのある通り、原著作者に帰属します。