Ghostscriptでリモートでコードを実行される脆弱性が発生(CVE-2024-29510)
2024年7月 Linuxで広く利用されている画像変換ライブラリである、Ghostscript(ゴーストスクリプト)でリモートでコードを実行できる脆弱性が発見されました。(CVE-2024-29510)
なお対象のGhostscript(ゴーストスクリプト)は、商用ライセンス版と一定の条件下で無償利用可能なAGPL版のArtifex Ghostscript(アーティフィクス ゴーストスクリプト)になります。
目次
Ghostscript(ゴーストスクリプト)の脆弱性 CVE-2024-29510 の対象のバージョン
Artifex Ghostscript(アーティフィクス ゴーストスクリプト)の10.03.0以下のすべてのバージョンに影響を与えます。
脆弱性 CVE-2024-29510とは
Artifex Ghostscript(アーティフィクス ゴーストスクリプト)の10.03.0以下のパッチが適用されていない バージョンでは、サンドボックスがアクティブ化された後に uniprint デバイスの引数文字列が変更されるのを防ぐことができないため、攻撃者は -dSAFER オプション (デフォルトで有効) を回避できます。
このセキュリティ バイパスの可能性は、サンドボックスによって通常はブロックされる Ghostscript Postscriptインタプリタを使用して、コマンド実行やファイル I/O などの高リスク操作を実行できるため、特に危険です。
脆弱性 CVE-2024-29510 の対処方法
最新版をダウンロードする事が対処法です。
なお、各Linuxディストリビューションの最新バージョンでもArtifex Ghostscript(アーティフィクス ゴーストスクリプト)が提供されていない場合もあり、
影響を受けるかどうかわからない場合は、海外のセキュリティ企業「Codean Labs」がテストキットを提供しています。
これは、お使いの Ghostscript のバージョンが影響を受けるかどうかを示す小さな Postscript ファイルです。ここからダウンロードして、次のように実行してください。
ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps
Ghostscript(ゴーストスクリプト)とは
Ghostscript(ゴーストスクリプト)は、1988 年に初めてリリースされた Postscript インタプリタであり、一般的なドキュメント変換ツールキットです。
もともとはプリンタとの通信に使用される比較的目立たない UNIX ツールでしたが、現在では、ユーザーが指定したファイルを処理するために自動化システムでよく使用されています。
Ghostscript(ゴーストスクリプト)はどこで利用されている
具体的には、画像やドキュメントを処理および変換する多くの Web アプリケーションは、ある時点で Ghostscript(ゴーストスクリプト)を呼び出されており、多くの場合ImageMagick や LibreOffice などのツールを介して間接的に呼び出されます。
また、チャット プログラムやクラウド ストレージ アプリケーションで表示される添付ファイルのプレビュー画像など、これらの処理や変換のレンダリング ロジックで、Ghostscript(ゴーストスクリプト)が呼び出されることがよくあります。
一部引用:CVE-2024-29510 – Exploiting Ghostscript using format strings