I.概要

2021年9月9日（現地時間）、Ghostscriptの提供元であるArtifex Software社が、Ghostscriptにおける任意のコマンド実行が可能な脆弱性（CVE-2021-3781）に関するセキュリティアドバイザリを公開しました。Ghostscriptが動作するサーバーにおいて、攻撃者が本脆弱性を悪用するコンテンツを処理させることで、任意のコマンドを実行する可能性があります。

SECURITY ADVISORY SEPTEMBER 9, 2021 – CVE-2021-3781
https://ghostscript.com/CVE-2021-3781.html

II.対象

対象となる製品とバージョンは次のとおりです。

– Ghostscript/GhostPDL 9.53.3
– Ghostscript/GhostPDL 9.52
– Ghostscript/GhostPDL 9.50

III.対策

Artifex Software社から、本脆弱性を修正するパッチが公開されています。

2021年9月27日（現地時間）、Artifex Software社から本脆弱性を修正したバージョンが公開されました。公開された情報を参照のうえ、修正バージョンの適用をご検討ください。

Version 9.55.0 (2021-09-27)
https://www.ghostscript.com/doc/9.55.0/News.htm
**********************************************************************

IV. 緩和策

本脆弱性への早期の対策実施が難しい場合、脆弱性を悪用する攻撃の影響を軽減するため、ImageMagickなどのGhostscriptを呼び出すプログラムにおいて、フィルター設定の見直しを検討することを推奨します。

Security Policy
https://imagemagick.org/script/security-policy.php

V. 参考情報

Artifex Software
SECURITY ADVISORY SEPTEMBER 9, 2021 – CVE-2021-3781
https://ghostscript.com/CVE-2021-3781.html