Ghostscriptで任意のコードが実行可能な脆弱性(CVE-2017-8291)(追記有)

 Ghostscriptの脆弱性CVE-2017-8291が2017/4/26に公表されました。
CVE - CVE-2017-8291
 "exploited in the wild in April 2017"とあることから、2017年4月から既に悪用されているようです。

 JPCERTでも日本語で脆弱性情報が公開されています。
JVNVU#98641178: Ghostscript に任意のコードが実行可能な脆弱性

 個人的にはWindowsプラットフォームのImageMagicでPDF出力をする為にGhostscriptを導入しており、早急にアップデートしたいところです。が、5/25/18現在でパッチも修正版も未だ公開されておらず、脆弱性を含んだVersion9.2.1が最新として公開されています(GhostscriptのGitリポジトリ内部にはBug 697799として修正ソースがコミットされているようです)。
Ghostscript: Ghostscript Downloads

 ということで修正までの間、何が危険なのか調べてみました。
 

何が危険なのか

 上記のMITREとJPCERTのページを読む限りでは「細工を施したEPSファイルをGhostscriptに喰わせると、任意のコードを実行されるリスクがある」ようです。
 

修正までの暫定対応

 脆弱性の内容から判断して、出所不明のEPSファイルをGhostscriptで扱わなければ問題なさそうです。

 個人的にはこれで特に困りませんが、外部からのEPSファイルを入力として何らかの処理を行う必要性がある場合には、任意のコードを実行される可能性に曝されますので、修正版リリースまで当該処理は控えるべきでしょう。
 

(2017/05/17追記ここから)
 個人的には影響を受けていないものの、修正版リリースを待ち構えてちょいちょい最新版を確認しているのですが、未だリリースされていません。
 というか、過去のGhostscriptのリリース日を調べてみると、基本的に3月頃と9月頃(年によっては1カ月程度前後していることもある)の年二回だけのようです。2017年の3月には件の脆弱性を含んだままのVersion9.2.1がリリースされているので、もしかすると9月頃まで修正版リリースを待つ必要があるのかもしれません。
Ghostscript: News
(2017/05/17追記ここまで) 
 

(2017/12/25追記ここから)
 2017/10/04にVersion9.2.2がリリースされています。
History of Ghostscript versions 9.n
 ChangelogにBug 697799(即ちCVE-2017-8291)の修正が含まれていることから、本脆弱性が修正されたようです。バグトラッカー上でもBug 697799はRESOLVED FIXEDステータスに更新されクローズされているのが確認できます。
Bug 697799 – corruption of operand stack

 相変わらずMITREやJPCERTではCVE-2017-8291はオープンのままですが、各OSディストリビューションや製品に付属しているGhostscriptではなく、公式から個別にGhostscriptを導入しているユーザについてはVersion 9.2.2を導入すれば本脆弱性は解消されたことになりますね。

(2017/12/25追記ここまで) 



以上。