JVNDB-2017-002808

JVNDB-2017-002808
Ghostscript に任意のコードが実行可能な脆弱性
概要
Ghostscript には、任意のコードが実行可能な脆弱性が存在します。 Ghostscript に含まれる .rsdparams には、type confusion の問題があります。細工された .eps ファイルを処理することで -dSAFER オプションが回避され、結果として任意のコードを実行される可能性があります。なお、本脆弱性を使用した攻撃活動が確認されているとのことです。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 7.8 (重要) [NVD値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高 CVSS v2 による深刻度基本値: 6.8 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

Artifex Software Ghostscript 9.21 およびそれ以前

想定される影響
細工された .eps ファイルを処理することで、任意のコードを実行される可能性があります。
対策
[パッチを適用する] 開発者が提供する情報をもとに、パッチを適用してください。 2017年4月28日現在、Ghostscript を提供している各 OS の配布元は、本脆弱性に関する調査を行っている状況です。各 OS のアップデートに関する情報は、各配布元が提供する情報をご確認ください。
ベンダ情報
Artifex Software Ghostscript : Bug 697799: have .rsdparams check its parameters Ghostscript : Bug 697799: have .eqproc check its parameters Canonical Ubuntu : CVE-2017-8291 Debian Security Bug Tracker : CVE-2017-8291 SUSE Bugzilla : Bug 1036453 レッドハット Red Hat CVE Database : CVE-2017-8291 日本ワムネット株式会社日本ワムネット株式会社 : 【脆弱性情報】 [OFFICE20170706-1] Ghostscriptに関する脆弱性（2017/7/06）
CWEによる脆弱性タイプ一覧 CWEとは?
不正な型変換またはキャスト(CWE-704) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2017-8291
参考情報
JVN : JVNVU#98641178 National Vulnerability Database (NVD) : CVE-2017-8291
更新履歴
[2017年05月01日] 掲載 [2017年06月06日] CWE による脆弱性タイプ一覧：CWE-ID を追加参考情報：National Vulnerability Database (NVD) (CVE-2017-8291) を追加 [2017年08月04日] ベンダ情報：日本ワムネット株式会社 (【脆弱性情報】 [OFFICE20170706-1] Ghostscriptに関する脆弱性（2017/7/06）) を追加


公表日	2017/04/28
登録日	2017/05/01
最終更新日	2017/08/04

Ghostscript に任意のコードが実行可能な脆弱性