ニュース

「Ghostscript」にアクセス制限回避の脆弱性、リモートから任意コマンドが実行可能に ~JVNが警告

昨年9月にリリースされたv9.50でファイルアクセス制御を刷新、問題は解決済み

「Ghostscript」の公式サイト

 脆弱性ポータルサイト“JVN”は2月5日、脆弱性レポート“JVN#52486659”を公開した。「Ghostscript」にアクセス制限回避の脆弱性(CVE-2019-14869)が存在するという。

 脆弱性レポートによると、悪意を持って作為されたファイルを「Ghostscript」に処理させることで、リモートから「Ghostscript」の権限で任意のコマンドが実行できるようになるという。脆弱性の深刻度は“CVSS v2”の基本値で“6.8”、“CVSS v3”の基本値で“7.8”と評価されている。

 「Ghostscript」は、PostScript言語やPDFのインタープリター。「ImageMagick」など、有名な画像処理ライブラリでも内部的に利用されており、影響の大きさが懸念される。昨年9月30日にリリースされたv9.50で修正されているとのことなので、「Ghostscript」を利用している開発者はアップデートを怠らないようにしたい。