サーバが完全に乗っ取られるGhostscriptのゼロデイ脆弱性が発見される:不正なSVGファイルをアップロードすることで乗っ取り可能

ベトナムのセキュリティ研究者であるNguyen The Duc氏が公開したGhostscriptの脆弱性は、パッチが適用されていないため、このコンポーネントを使用しているすべてのサーバーが攻撃を受ける危険性があることがわかりました。

https://github.com/duc-nt/RCE-0-day-for-GhostScript-9.50

この0-day exploitは、Ubuntuリポジトリのデフォルト設定のImageMagickに影響を与えます

ベトナムのセキュリティ研究者であるNguyen The Duc氏が公開したこの概念実証コードは、GitHubで公開されており、主要なセキュリティ研究者数名によって動作が確認されています。

1988年に公開されたGhostscriptは、PDF文書やPostScriptベースのファイルをアプリケーションで処理するための小さなライブラリです。

主な用途はデスクトップソフトウェアですが、Ghostscriptはサーバーサイドでも使用されており、人気の高いImageMagickなどの画像変換やファイルアップロード処理ツールキットに含まれています。

Nguyen氏が公開した概念実証コードは、攻撃者が不正なSVGファイルをアップロードすると基礎となるOS上で悪意のあるコードを実行することができるものとなっています。

Ghostscriptプロジェクトを運営しているArtifex社は、コメントの要請に応じていないようです。

Ghostscriptプロジェクトがセキュリティ問題でニュースになるのはこれで2度目で、1回目は2018年8月Googleのセキュリティ研究者がGhostscriptライブラリに複数の重大な脆弱性を発見し、Ghostscriptのセキュリティ問題が広く知られるようになった2日後に修正プログラムをリリースしました。

Leave a Reply

Your email address will not be published.