これは、エンドユーザーにとって何を意味するものなのでしょうか。まず、Ghostscript って何? という事からお話を広げないといけませんね。僕も知りたいです。Ghostscript とは? から始めないと気が済まないんです。「ユーザーさんは、パッチを当ててくださいね」ということらしいのですよ。
Ghostscript/Wikipedia
どうやら、ベクターイメージ画像を、RIP(ネットワークのRIPではなく、ラスタライズ・イメージ・プロセッサのことです)として機能する。ドット画像に置き換えてプリンタなどに送るのがこれの役割のようです。主に、Adobe 社の定めている規格、Postscript ページ記述言語や、いま主流の PDF なんかにも使われているようです。また、各 OS にも内在していて、インタプリタとして動作しているようです。
で、今回何が問題だったのか。この脆弱性は、誰が対象で、どこに影響が出るのか、よーく見て行きたいと思っています。
JPCERT/CC/「Ghostscriptの任意のコマンド実行が可能な脆弱性(CVE-2021-3781)に関する注意喚起」
当該リンクは下記にありますよ。
まあ、ザっと見る限り、エンドユーザー様には直接関係のないお話ですが、サーバー管理者様におかれましては、ここをご覧いただいた上で、アプリケーションソフトのパッチ当てをされるとか、サーバーOSの更新を待つとかなされた方がよろしいかと存じます。また、印刷会社の方で、RIP サーバーを運用中の方におかれましても、外部と繋がっているネットワークをお持ちの場合は特に、上記リンク中の「緩和策」を取られ、情報セキュリティ対策を取られることがよろしいかと存じます。
これ以上、いい加減なことは申せません。以上、よろしくお願いいたします。
【Ghostscript 9.55.0 アップデートがあります】【09/29 21:40 追記】
ご関係の各位の方々は、9月27日(現地時間)に更新された、製造元でのアップデート案内(英語)に従って、身に覚えのない SVG ファイル、あるいは、PDF ファイルを読み込む際には努めて注意なされることと、今後の Ghostscript は、Postscript で記述されたものではなく、C 言語で新しく組み直されたものが提供されます。アプリケーションソフト開発会社様におかれましては、その実装がある場合、チーム内でよく話し合って、脆弱性について対応していただけるよう、お願いいたします。
出来ましたら頑張って英文読解されることをお勧めいたします。指示に従ってください。
当該リンク/Ghostscript さん
よろしくお願いいたします。
ではでは(・∀・)ノ
パソコンのお医者さん いい加減なことは書けません ネットウイングス 代表 田所憲雄 拝
0コメント