「Ghostscript」にアクセス制限回避の脆弱性、リモートから任意コマンドが実行可能に ～JVNが警告

「Ghostscript」の公式サイト

　脆弱性ポータルサイト“JVN”は2月5日、脆弱性レポート“JVN#52486659”を公開した。「Ghostscript」にアクセス制限回避の脆弱性（CVE-2019-14869）が存在するという。

　脆弱性レポートによると、悪意を持って作為されたファイルを「Ghostscript」に処理させることで、リモートから「Ghostscript」の権限で任意のコマンドが実行できるようになるという。脆弱性の深刻度は“CVSS v2”の基本値で“6.8”、“CVSS v3”の基本値で“7.8”と評価されている。

　「Ghostscript」は、PostScript言語やPDFのインタープリター。「ImageMagick」など、有名な画像処理ライブラリでも内部的に利用されており、影響の大きさが懸念される。昨年9月30日にリリースされたv9.50で修正されているとのことなので、「Ghostscript」を利用している開発者はアップデートを怠らないようにしたい。