JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は8月22日(米国時間)、「Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起」において、Ghostscriptの-dSAFERオプションに脆弱性が存在すると伝えた。この脆弱性を悪用されると、Ghostscriptが動作しているサーバにおいて任意のコマンドが実行される危険性があるとされている。

Ghostscriptは、Artifex Softwareが提供するPostScriptやPDFの出力に利用されるインタープリタ。ImageMagickなど、Ghostscript を内部的に使用するアプリケーション も同脆弱性の影響を受ける。

この脆弱性の影響を受けるとされるプロダクトおよびバージョンは次のとおり。

  • Ghostscript 9.23およびそれより前のバージョン
  • ImageMagick 7.0.8-10およびそれほりも前のバージョン(ImageMagickはデフォルトでGhostscriptを使用)
  • Vulnerability Note VU#332928 - Ghostscript contains multiple -dSAFER sandbox bypass vulnerabilities

    Vulnerability Note VU#332928 - Ghostscript contains multiple -dSAFER sandbox bypass vulnerabilities

同脆弱性の実証コードがすでに公開されており、JPCERT/CCで検証した結果、Ghostscript を実行しているユーザの権限で任意のコマンドが実行されることを確認したという。

8月22日11時時点で、同脆弱性を修正したバージョンは公開されていない。JPCERTコーディネーションセンターでは回避策としてGhostscriptでPostscriptを処理させないようにする方法などを紹介している。