ベトナムのセキュリティ研究者であるNguyen The Duc氏が公開したGhostscriptの脆弱性は、パッチが適用されていないため、このコンポーネントを使用しているすべてのサーバーが攻撃を受ける危険性があることがわかりました。
GitHub - duc-nt/RCE-0-day-for-GhostScript-9.50: RCE 0-day for GhostScript 9.50 - Payload generator
RCE 0-day for GhostScript 9.50 - Payload generator - GitHub - duc-nt/RCE-0-day-for-GhostScript-9.50: RCE 0-day for Ghost...
github.com
この0-day exploitは、Ubuntuリポジトリのデフォルト設定のImageMagickに影響を与えます
ベトナムのセキュリティ研究者であるNguyen The Duc氏が公開したこの概念実証コードは、GitHubで公開されており、主要なセキュリティ研究者数名によって動作が確認されています。
1988年に公開されたGhostscriptは、PDF文書やPostScriptベースのファイルをアプリケーションで処理するための小さなライブラリです。
主な用途はデスクトップソフトウェアですが、Ghostscriptはサーバーサイドでも使用されており、人気の高いImageMagickなどの画像変換やファイルアップロード処理ツールキットに含まれています。
Nguyen氏が公開した概念実証コードは、攻撃者が不正なSVGファイルをアップロードすると基礎となるOS上で悪意のあるコードを実行することができるものとなっています。
Ghostscriptプロジェクトを運営しているArtifex社は、コメントの要請に応じていないようです。
Ghostscriptプロジェクトがセキュリティ問題でニュースになるのはこれで2度目で、1回目は2018年8月Googleのセキュリティ研究者がGhostscriptライブラリに複数の重大な脆弱性を発見し、Ghostscriptのセキュリティ問題が広く知られるようになった2日後に修正プログラムをリリースしました。
Comments