2018/8/23

【脆弱性情報】 [OFFICE20180823-1] Ghostscriptに関する脆弱性(2018/10/16 更新)

2018/8/23 掲載
2018/10/16 更新

※2018/10/16修正
GigaCC OFFICEで使用しているGhostscriptに脆弱性(JVNVU#90390242)が発見されたため、脆弱性に対処した設定ファイルを配布致しましたのでご案内申し上げます。

2018/10/16にGhostscript脆弱性問題(JVNVU#90390242)の恒久対策パッチであるGigaCC OFFICE Ver2.7用パッチ1 リリース致しました。


■ 想定される影響

ファイルアップロード後のプレビュー・サムネイル生成処理におきまして、悪意あるファイルを読み込むことで任意のコードを実行される可能性があります。

【関連情報】 一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)
 Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起
 URL: https://www.jpcert.or.jp/at/2018/at180035.html


■ 対象製品およびバージョン

GigaCC OFFICEの全バージョン


■ 対策方法

※2018/10/16修正
Ghostscript脆弱性対策設定ファイルをGigaCC OFFICEサーバ内の既存ファイルと入れ替えてください。

※重要
この暫定対策は、ImageMagick の設定ファイル (policy.xml) の設定を変更し、処理制限を行う方法です。
そのため、対策設定ファイルを適用することにより、MS Office、PDF、PS、EPSファイルのプレビュー・サムネイルが生成されなくなります。

恒久対策につきましては、Ghostscript提供元からの修正パッチがリリースされ次第、ご案内させていただきます。


2018/10/16にリリース致しましたGigaCC OFFICE Ver2.7用パッチ1を適用してください。


■ お問い合わせ先

本内容についてご不明な点がございましたら、弊社サポートまでお問い合わせください。