Ghostscriptセキュリティ問題（CVE-2010-2056）

Ghostscript（ゴーストスクリプト）は、アドビシステムズが開発した PostScript や Portable Document Format (PDF) などページ記述言語向けのインタプリタおよび、それを元にしたソフトウェアパッケージのことである。フリーソフトウェアとして配布されている。殆どLinuxOSはGhostScriptを結構使っております。現在Ghostscriptのセキュリティ問題が発見されており、下記詳細説明となります

本件セキュリティ問題について下記のGhostscriptバーションに影響があります↓

Ghostscript Ghostscript 8.64以下
現時点では下記のOSに影響が出ます↓
Debian Linux 4.0(Multi Platform)以下とRedHat Fedora 13以下

問題の情報↓

1) 説明は、
Ghostscriptのtemporaryファイルの作り仕組みの問題がありローカル側symbolic-link攻撃を作る可能性が高いです。悪戯作られたリンクをマウントされたらLinuxシステムにある他のアプリケーション/コマンドを弄れます。本件問題情報を使われたらシステムDoS攻撃仕組みも作れます。
2) 追加情報↓
Bugtraq ID: 40426
Class: Design Error
CVE: CVE-2010-2056
Remote: No
Local: Yes
Published: May 28 2010 12:00AM
Updated: Jul 08 2010 07:37PM
Credit: Paul Szabo

解決方法↓

パッチが出ました、下記のURLでダウンロードが出来ます↓
http://ghostscript.com/releases/
Ghostscript 8.70以上問題に影響がありませんので最新バーションをアップグレードしたら問題が解決出来ます。

リファレンス↓

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=583316#15
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2056
http://www.securityfocus.com/bid/40426
http://www.redhat.com/security/data/cve/CVE-2010-2056.html
http://lwn.net/Articles/395631/
http://www.nessus.org/plugins/index.php?view=single&id=47686
http://groups.google.com/group/gnu.ghostscript.bug/browse_thread/thread/c2057f7c5a536d7e?pli=1

credit: Paul Szabo. 株式会社ケイエルジェイテック
---
http://0day.jp
セキュリティチーム
unixfreaxjp