製品・ソフトウェアに関する情報

JVN脆弱性詳細

Ghostscript における SAFER モード保護メカニズムを回避される脆弱性

Title	Ghostscript における SAFER モード保護メカニズムを回避される脆弱性
Summary	Ghostscript には、SAFER モード保護メカニズムを回避され、その結果、任意のファイルを読まれる脆弱性が存在します。
Possible impacts	リモートの攻撃者により、巧妙に細工された PostScript ドキュメントを介して、SAFER モード保護メカニズムを回避され、その結果、任意のファイルを読まれる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Oct. 6, 2016, midnight
Registration Date	June 22, 2017, 10:07 a.m.
Last Update	June 22, 2017, 10:07 a.m.

Affected System

Artifex Software

Ghostscript 9.21 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-7977	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7977
National Vulnerability Database (NVD)
2	CVE-2016-7977	https://nvd.nist.gov/vuln/detail/CVE-2016-7977

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	Name	URL
Bugzilla
1	Bug 697169	https://bugs.ghostscript.com/show_bug.cgi?id=697169
Ghostscript
2	Bug 697169: Be rigorous with SAFER permissions	http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=8abd22010eb4db0fb1b10e430d5f5d83e015ef70
3	History of Ghostscript versions 9.xx	https://ghostscript.com/doc/9.21/History9.htm

Change Log

No	Changed Details	Date of change
0	[2017年06月22日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-7977

Summary	Ghostscript before 9.21 might allow remote attackers to bypass the SAFER mode protection mechanism and consequently read arbitrary files via the use of the .libfile operator in a crafted postscript document.
Publication Date	May 23, 2017, 1:29 p.m.
Registration Date	Jan. 26, 2021, 2:18 p.m.
Last Update	Nov. 21, 2024, 11:58 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:artifex:ghostscript::::::::			9.20

Related information, measures and tools

No	URL	タグ
1	http://git.ghostscript.com/?p=ghostpdl.git%3Ba=commitdiff%3Bh=8abd22010eb4db0fb1b10e430d5f5d83e015ef70
2	http://git.ghostscript.com/?p=ghostpdl.git%3Ba=commitdiff%3Bh=8abd22010eb4db0fb1b10e430d5f5d83e015ef70
3	http://rhn.redhat.com/errata/RHSA-2017-0013.html
4	http://rhn.redhat.com/errata/RHSA-2017-0013.html
5	http://rhn.redhat.com/errata/RHSA-2017-0014.html
6	http://rhn.redhat.com/errata/RHSA-2017-0014.html
7	http://www.debian.org/security/2016/dsa-3691
8	http://www.debian.org/security/2016/dsa-3691
9	http://www.openwall.com/lists/oss-security/2016/09/29/28	Mailing List Patch
10	http://www.openwall.com/lists/oss-security/2016/09/29/28	Mailing List Patch
11	http://www.openwall.com/lists/oss-security/2016/10/05/15	Mailing List Patch
12	http://www.openwall.com/lists/oss-security/2016/10/05/15	Mailing List Patch
13	http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
14	http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
15	http://www.securityfocus.com/bid/95334	Third Party Advisory VDB Entry
16	http://www.securityfocus.com/bid/95334	Third Party Advisory VDB Entry
17	https://bugs.ghostscript.com/show_bug.cgi?id=697169	Issue Tracking Patch
18	https://bugs.ghostscript.com/show_bug.cgi?id=697169	Issue Tracking Patch
19	https://ghostscript.com/doc/9.21/History9.htm	Release Notes
20	https://ghostscript.com/doc/9.21/History9.htm	Release Notes
21	https://security.gentoo.org/glsa/201702-31
22	https://security.gentoo.org/glsa/201702-31

Common Vulnerabilities List