公開日:2018/08/22 最終更新日:2018/10/19

JVNVU#90390242
Ghostscript に -dSAFER オプションによる保護が回避される複数の脆弱性

概要

Ghostscript には -dSAFER オプションによる保護が回避される複数の脆弱性が存在し、この脆弱性を利用する遠隔の第三者によって、任意のコマンドを実行される可能性があります。

影響を受けるシステム

  • Ghostscript 9.23 およびそれ以前

詳細情報

Artifex Software 社が提供している Ghostscript には PostScript による危険な動作を防ぐための -dSAFER オプションが存在します。PostScript には -dSAFER による保護機能が回避されてしまう複数の処理が存在し、攻撃者によって任意のコマンドを実行される可能性があります。この脆弱性は ImageMagick, GraphicsMagick, evince, Okular, Nautilus などの Ghostscript を活用しているアプリケーションにも影響します。

本脆弱性のエクスプロイトコードが公開されています。

想定される影響

遠隔の第三者によって細工されたファイルを Ghostscript もしくは Ghostscript を活用しているプログラムが処理することで、Ghostscript の権限で任意のコマンドを実行される可能性があります。ユーザの環境によっては、ウェブサイトからのファイルダウンロードのような簡単な操作によって、Ghostscript の処理が発動する可能性があります。

対策方法

アップデートする
本脆弱性を修正した Ghostscript 9.25 が公開されています。
※ 9月3日に公開された Ghostscript 9.24 に対して更に修正を加えたものです。

またワークアラウンドとして、以下の適用を検討してください。

ワークアラウンドを実施する

  • ImageMagick の policy.xml で PS, EPS, PDF, XPS を無効にする
ImageMagick の初期設定では、PostScript の処理に Ghostscript を使用しています。ImageMagick では policy.xml の設定で PS, EPS, PDF, XPS コンテンツの処理を無効にすることが可能です。例えば、RedHat システムにおいては /etc/ImageMagick/policy.xml<policymap> セクションに下記を追加することで、PS, EPS, PDF, XPS の処理が無効になります。

    <policy domain="coder" rights="none" pattern="PS" />
    <policy domain="coder" rights="none" pattern="PS2" />
    <policy domain="coder" rights="none" pattern="PS3" />
    <policy domain="coder" rights="none" pattern="EPS" />
    <policy domain="coder" rights="none" pattern="PDF" />
    <policy domain="coder" rights="none" pattern="XPS" />

policy.xml に相当するファイルの場所はプラットフォームにより異なります。使用しているシステムにおける設定ファイルの場所を確認してください。また上記は、ImageMagick においてのみ有効なワークアラウンドであることに注意してください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
サイバートラスト株式会社 該当製品あり 2018/10/19 サイバートラスト株式会社 の告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2018/08/27
日本ワムネット株式会社 該当製品あり 2018/10/17 日本ワムネット株式会社 の告知ページ
横河計測株式会社 該当製品無し 2018/08/30
ベンダ リンク
Artifex Software, Inc. Artifex Software, Inc. Information for VU#332928

参考情報

  1. CERT/CC Vulnerability Note VU#332928
    Ghostscript contains multiple -dSAFER sandbox bypass vulnerabilities
  2. project-zero: Issue 1640
    ghostscript: multiple critical vulnerabilities, including remote command execution
  3. Openwall
    oss-security - More Ghostscript Issues: Should we disable PS coders in policy.xml by default?
  4. Artifex Software, Inc.
    Version 9.24
  5. Artifex Software, Inc.
    How to Use Ghostscript
  6. ImageMagick
    Security Policy @ ImageMagick
  7. ImageMagick
    Configuration Files

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 9.8
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:P/I:P/A:P
基本値: 7.5
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

分析結果のコメント

CVSS 値は、ファイルダウンロードのような簡単な操作によって、ユーザの関与なく Ghostscript の処理が発動する、といった最悪のシナリオをもとに評価しています。多くの環境では影響の度合いがこれよりも大幅に小さく、CVSS 値も低くなりますので注意してください。

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2018-0035
Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2018-16509
JVN iPedia JVNDB-2018-006474

更新履歴

2018/08/27
[詳細情報]、[想定される影響]、[対策方法] を更新し、[ベンダ情報]、[参考情報]、[関連文書] にリンクを追加しました。
2018/08/28
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2018/08/31
横河計測株式会社のベンダステータスが更新されました
2018/09/04
日本ワムネット株式会社のベンダステータスが更新されました
2018/09/07
[対策方法]を更新し、[参考情報]、[関連文書] にリンクを追加しました。
2018/09/14
CVSS v3 の評価値を修正しました。
2018/09/14
修正バージョンの変更に伴い[対策方法]を更新しました
2018/10/17
日本ワムネット株式会社のベンダステータスが更新されました
2018/10/19
サイバートラスト株式会社のベンダステータスが更新されました