Linuxシステムで広く使用されている文書変換ツールキットGhostscriptにリモートでコードが実行される脆弱性があり、現在攻撃で悪用されている。
Ghostscriptは多くのLinuxディストリビューションにプリインストールされており、ImageMagick、LibreOffice、GIMP、Inkscape、Scribus、CUPS印刷システムなど、様々な文書変換ソフトウェアで使用されています。
CVE-2024-29510として追跡されているこのフォーマット文字列の脆弱性は、すべてのGhostscript 10.03.0およびそれ以前のインストールに影響します。パッチを適用していない Ghostscript のバージョンでは、サンドボックスが有効化された後の uniprint デバイスの引数文字列の変更を防ぐことができないため、攻撃者は -dSAFER サンドボックス (デフォルトで有効) から逃れることができます。
このセキュリティ・バイパスは、サンドボックスが通常ブロックするGhostscript Postscriptインタプリタを使用して、コマンド実行やファイルI/Oなどの危険性の高い操作を実行することを可能にするため、特に危険です。
「この脆弱性は、ドキュメントの変換やプレビュー機能を提供するウェブアプリケーションやその他のサービスに重大な影響を及ぼす可能性があります。
「あなたのソリューションが(間接的に)Ghostscriptを使用しているかどうかを確認し、使用している場合は最新バージョンにアップデートすることをお勧めします。
Codean Labsはまた、以下のコマンドで実行することにより、防御者が自分のシステムがCVE-2023-36664攻撃に対して脆弱であるかどうかを検出するのに役立つこのPostscriptファイルを共有している:
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
攻撃で積極的に悪用される
Ghostscriptの開発チームは5月にこのセキュリティ欠陥を修正したが、Codean Labsはその2カ月後に技術的な詳細と概念実証のエクスプロイトコードを掲載した記事を発表した。
攻撃者は、JPG(画像)ファイルとしてカモフラージュされたEPS(PostScript)ファイルを使用して、脆弱なシステムへのシェル・アクセスを取得するために、既にCVE-2024-29510 Ghostscriptの脆弱性を悪用しています。
開発者のBill Mill氏は、「もし、あなたのプロダクション・サービスにghostscriptが使われているのであれば、あなたはおそらく、驚くほど些細なリモート・シェル実行に対して脆弱であり、それをアップグレードするか、プロダクション・システムから削除すべきです」と警告している。
「この脆弱性に対する最善の対策は、インストールしたGhostscriptをv10.03.1にアップデートすることです。あなたのディストリビューションが最新のGhostscriptバージョンを提供していない場合でも、この脆弱性の修正を含むパッチバージョンがリリースされている可能性があります(例:Debian、Ubuntu、Fedora)」とCodean Labsは付け加えた。
1年前、Ghostscriptの開発者は、パッチが適用されていないシステム上で悪意を持って細工されたファイルを開くことによって引き起こされる、別の重大なRCEの欠陥(CVE-2023-36664)にパッチを適用した。
Comments