JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は9月13日、「Ghostscriptの任意のコマンド実行が可能な脆弱性(CVE-2021-3781)に関する注意喚起」において、Artifex Software社よりGhostscriptの脆弱性に関するセキュリティアドバイザリが公開されているとして、注意喚起を行った。
対象の脆弱性はCVE-2021-3781として追跡されているもので、悪用するとリモートから対象のシステム上で任意のコードを実行できてしまう。既に概念実証コードが公開されているため、早急に対応することが推奨されている。
GhostscriptはPDFやPostScriptファイルを処理するためのライブラリで、ImageMagickをはじめとする主要な画像変換ツールやファイルアップロードツールで広く利用されている。今回のセキュリティアドバイザリは、Ghostscriptを開発しているArtifex Software社によって9月9日に次のページで公開された。
ただし、海外メディアでは9月7日の時点で、この脆弱性に関する概念実証コードが公開されたことを伝えていた。また、この脆弱性を発見したセキュリティ研究者が同8月にその技術的な詳細を発表していたことも明らかになっている。
これらの報告を受けて、Artifex Software社では上記のセキュリティアドバイザリを公開するとともに、脆弱性を修正するためのパッチをリリースした。この修正は、9月中のリリースが予定されているGhostscript/GhostPDL 9.55.0にも含まれるという。
CVE-2021-3781の影響を受けるバージョンは以下のとおりとなっている。
- Ghostscript/GhostPDL 9.50
- Ghostscript/GhostPDL 9.52
- Ghostscript/GhostPDL 9.53.3
- Ghostscript/GhostPDL 9.54.0
JPCERT/CCは、この脆弱性への早急な対策実施が難しい場合、Ghostscriptを利用しているImageMagickのツールにおいて、フィルター設定を見直すなどの緩和策を検討することを推奨している。例えば、現在公開されている情報では悪質なSVGファイルによってこの脆弱性を悪用できることが判明しているため、暫定的にSVGファイルの読み込みを制限するなどの対応が考えられる。