Ghostscriptの脆弱性CVE-2017-8291が2017/4/26に公表されました。
CVE - CVE-2017-8291
"exploited in the wild in April 2017"とあることから、2017年4月から既に悪用されているようです。
JPCERTでも日本語で脆弱性情報が公開されています。
JVNVU#98641178: Ghostscript に任意のコードが実行可能な脆弱性
個人的にはWindowsプラットフォームのImageMagicでPDF出力をする為にGhostscriptを導入しており、早急にアップデートしたいところです。が、5/25/18現在でパッチも修正版も未だ公開されておらず、脆弱性を含んだVersion9.2.1が最新として公開されています(GhostscriptのGitリポジトリ内部にはBug 697799として修正ソースがコミットされているようです)。
Ghostscript: Ghostscript Downloads
ということで修正までの間、何が危険なのか調べてみました。
何が危険なのか
上記のMITREとJPCERTのページを読む限りでは「細工を施したEPSファイルをGhostscriptに喰わせると、任意のコードを実行されるリスクがある」ようです。
修正までの暫定対応
脆弱性の内容から判断して、出所不明のEPSファイルをGhostscriptで扱わなければ問題なさそうです。
個人的にはこれで特に困りませんが、外部からのEPSファイルを入力として何らかの処理を行う必要性がある場合には、任意のコードを実行される可能性に曝されますので、修正版リリースまで当該処理は控えるべきでしょう。
(2017/05/17追記ここから)
個人的には影響を受けていないものの、修正版リリースを待ち構えてちょいちょい最新版を確認しているのですが、未だリリースされていません。
というか、過去のGhostscriptのリリース日を調べてみると、基本的に3月頃と9月頃(年によっては1カ月程度前後していることもある)の年二回だけのようです。2017年の3月には件の脆弱性を含んだままのVersion9.2.1がリリースされているので、もしかすると9月頃まで修正版リリースを待つ必要があるのかもしれません。
Ghostscript: News
(2017/05/17追記ここまで)
(2017/12/25追記ここから)
2017/10/04にVersion9.2.2がリリースされています。
History of Ghostscript versions 9.n
ChangelogにBug 697799(即ちCVE-2017-8291)の修正が含まれていることから、本脆弱性が修正されたようです。バグトラッカー上でもBug 697799はRESOLVED FIXEDステータスに更新されクローズされているのが確認できます。
Bug 697799 – corruption of operand stack
相変わらずMITREやJPCERTではCVE-2017-8291はオープンのままですが、各OSディストリビューションや製品に付属しているGhostscriptではなく、公式から個別にGhostscriptを導入しているユーザについてはVersion 9.2.2を導入すれば本脆弱性は解消されたことになりますね。
(2017/12/25追記ここまで)
以上。