【注意喚起】Ghostscript の脆弱性 (CVE-2019-10216)に関する注意喚起

Ghostscript の脆弱性 (CVE-2019-10216)について注意喚起です。

本件の情報は、「システム担当者」向けになります。

所管のシステムで使用しているか構築業者又は保守運用業者へ確認をお願いいたします。

================================

●概要
Ghostscript の脆弱性 (CVE-2019-10216) を実証したとするコードが公開されていることを
確認しております。

　JPCERT/CC にて検証した結果、本脆弱性を悪用することで、任意のコマンドが実行可能なことを
　確認しております。
　また、回避策のパッチ適応を行った環境では実証コードが正常に動作しないことや、ImageMagic
　などのGhostscript を内部で呼び出しているアプリケーションでも本脆弱性の影響を受けることも
　確認しております。

●脅威
　細工した ps ファイルを開かせることで、任意のコードが実行される攻撃シナリオが考えられます。

●対象
　ディストリビュータの提供するパッケージについて、影響を受けるバージョンの記載に差異がある
　可能性があります。
　詳細は、各ディストリビュータからの情報を参照してください。（脆弱性識別情報 CVE-2019-10216）

・（脆弱性の実証コードを公開した者）Ghostscript 9.27 およびそれ以前のバージョン
・（JPCERT/CC による公開されている実証コードを用いた検証結果）Ghostscript 9.27rc1 及び
　　9.27 のみが影響を受けることを確認

●対処方針
　本脆弱性の影響を軽減するために、以下の回避策をご検討ください。回避策の適用にあたっては、
　十分に事前検証を行ってください。
　 - 各ディストリビュータで公開されているアップデートを適用する。
　 - ソースコードからコンパイルしている場合などは、パッチを適用する。
　 http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=5b85ddd19

以上、よろしくお願い申し上げます。