2021.09.29 12:39

JPCERT/CC Alert 「Ghostscriptの任意のコマンド実行が可能な脆弱性（CVE-2021-3781）に関する注意喚起」（NetwingsJ）

これは、エンドユーザーにとって何を意味するものなのでしょうか。まず、Ghostscript って何？　という事からお話を広げないといけませんね。僕も知りたいです。Ghostscript とは？　から始めないと気が済まないんです。「ユーザーさんは、パッチを当ててくださいね」ということらしいのですよ。

Ghostscript／Wikipedia

Ghostscript - Wikipedia

Ghostscript

ja.wikipedia.org

どうやら、ベクターイメージ画像を、RIP（ネットワークのRIPではなく、ラスタライズ・イメージ・プロセッサのことです）として機能する。ドット画像に置き換えてプリンタなどに送るのがこれの役割のようです。主に、Adobe 社の定めている規格、Postscript ページ記述言語や、いま主流の PDF なんかにも使われているようです。また、各 OS にも内在していて、インタプリタとして動作しているようです。

で、今回何が問題だったのか。この脆弱性は、誰が対象で、どこに影響が出るのか、よーく見て行きたいと思っています。

JPCERT/CC／「Ghostscriptの任意のコマンド実行が可能な脆弱性（CVE-2021-3781）に関する注意喚起」

当該リンクは下記にありますよ。

Ghostscriptの任意のコマンド実行が可能な脆弱性（CVE-2021-3781）に関する注意喚起

更新: 2021年9月29日追記改訂履歴Topへこのページは役に立ちましたか？はいいいえその他、ご意見・ご感想などございましたら、ご記入ください。こちらはご意見・ご感想用のフォームです。各社製品については、各社へお問い合わせください。※本フォームにいただいたコメントへの返信はできません。返信をご希望の方は「お問合せ」をご利用ください。 javascriptを有効にすると、ご回答いただけます。ありがとうございました。インシデント報告はこちらから緊急情報を確認するおすすめ情報JPCERT/CCについて一般社団法人JPCERTコーディネーションセンター〒103-0023東京都中央区日本橋本町4-4-2 東山ビルディング8階TEL: 03-6271-8901　FAX 03-6271-8908

JPCERT/CC

まあ、ザっと見る限り、エンドユーザー様には直接関係のないお話ですが、サーバー管理者様におかれましては、ここをご覧いただいた上で、アプリケーションソフトのパッチ当てをされるとか、サーバーOSの更新を待つとかなされた方がよろしいかと存じます。また、印刷会社の方で、RIP サーバーを運用中の方におかれましても、外部と繋がっているネットワークをお持ちの場合は特に、上記リンク中の「緩和策」を取られ、情報セキュリティ対策を取られることがよろしいかと存じます。

これ以上、いい加減なことは申せません。以上、よろしくお願いいたします。

【Ghostscript 9.55.0 アップデートがあります】【09/29 21:40 追記】

ご関係の各位の方々は、９月27日（現地時間）に更新された、製造元でのアップデート案内（英語）に従って、身に覚えのない SVG ファイル、あるいは、PDF ファイルを読み込む際には努めて注意なされることと、今後の Ghostscript は、Postscript で記述されたものではなく、C 言語で新しく組み直されたものが提供されます。アプリケーションソフト開発会社様におかれましては、その実装がある場合、チーム内でよく話し合って、脆弱性について対応していただけるよう、お願いいたします。

出来ましたら頑張って英文読解されることをお勧めいたします。指示に従ってください。

当該リンク／Ghostscript さん

Recent Changes in Ghostscript

This document is news about the most recent Ghostscript release. For earlier versions, see the history documents: For other information, see the Ghostscript overview. Highlights in this release include: This release includes the fix for the %pipe% security issue (CVE-2021-3781). New PDF Interpreter: This is an entirely new implementation written in C (rather than PostScript, as before). For a full discussion of this change and reasons for it see: Changes Coming to the PDF Interpreter. In this (9.55.0) release, the new PDF interpreter is disabled by default in Ghostscript, but can be used by specifying -dNEWPDF. We hope to make it the default in 9.56.0, and fully deprecate the PostScript implementation shortly after that (depending on the feedback we get). This also allows us to offer a new executable (gpdf, or gpdfwin??.exe on Windows) which is purely for PDF input. For this release, those new binaries are not included in the "install" make targets, nor in the Windows installers

www.ghostscript.com

よろしくお願いいたします。

ではでは(･∀･)ノ

パソコンのお医者さん　いい加減なことは書けません　ネットウイングス　代表　田所憲雄　拝

ネットウイングス　Netwings.JP

どうも(･∀･)ノ　兵庫県尼崎市のネットウイングスです。パソコンのお医者さんとして、「インターネットで愉しむ」と同時に「情報技術者同士の緩やかな連帯感の醸成」にもこだわっています。

このページに掲載された記事の名称や内容は、各社の商標または登録商標です。また、ページ内でご紹介しているソフトウェア、バージョン、URL等は、各ページの発行時点のものであり、その後、変更されている場合があります。なお、画像や文章の著作権は、ベルヌ条約・万国著作権条約・著作権法で定めのある通り、原著作者に帰属します。