背景
GhostScriptの脆弱性は、これまでも数多く確認されています。
Windows以外のプラットフォーム(macOSやLinux)上で動作するPaperCut製品の中には、
GhostScriptをサードパーティ・ライブラリとして使用しているものがあり、
脆弱性スキャンを実行すると脆弱性ありと判定される場合があります。
GhostScriptの脆弱性には下記があります。
GhostTrapの利点
GhostTrapを使用している場合、GhostScriptの悪用からかなり保護されています。
2012年にPaperCutのエンジニアリング・チームがGhostScriptに脆弱性につながる可能性のあるバグを多数発見し、
当時のGhostScriptチームに報告しました。
セキュリティに重点を置くPaperCut社の考え方では、これらバグは心配であったため、
GhostTrapという新しいオープンソース・プロジェクトを立ち上げました。
GhostTrapは、GhostTrapコードに存在する可能性がある問題から保護するため、
Google Chromeから最高のサンドボックス技術をもたらします。
PaperCutのWindowsプラットフォーム向け製品およびセットアップ・ドキュメントはすべてのGhostTrapを使用しており、
最近のエクスプロイトを確認し、GhostTrapのサンドボックス対策が期待通りの保護を提供することを確認しています。
ベストプラクティスに従い、近い将来GhostTrapをアップデートする予定ですが、緊急の対応は必要ありません。
LinuxおよびmacOSサーバを実行している組織で内蔵のGhostScriptを使用する場合、
OSが最新にアップデートされているかを確認することをお勧めします。
GhostTrapの保護なしで、どんな場合にGhostScriptを使用するのか
GhostTrapはWindows専用であるため、GhostScriptをインストールしている場合、GhostTrapの保護がない状態でインストールされている可能性があります。
・ macOSもしくはLinuxOS上でモビリティ・プリント・サーバを実行している場合
・ macOSもしくはLinuxOS上でPaperCut Plus/MFのプリント・アーカイブ機能を使用している場合
上記のような場合、組織のセキュリティ・ベストプラクティスに従って、
インストールされているバージョンが最新に保たれていることを確認することを強く推奨します。
Linuxディストリビューションやパッケージ・マネージャーの中には、GhostScriptをインストールしたり、
自動的に最新のバージョンに保ったりできるものがあります。
GhostTrapを使用している他の製品や機能は下記の通りです。
・ ローカルにホストされたドキュメント処理サーバ(OCRやその他のスキャン処理機能)
・ PaperCut HiveやPaperCut Pocketで使用されるエッジノード(クライアント・ソフトウェア)
モビリティ・プリント - 応用設定(非推奨)
Windowsサーバ上でモビリティ・プリント Ver. 1.0.346以降のバージョンを実行している場合、
現時点ではGhostScript9.27に基づく最新のGhostTrapが使用されています。
下記の手順で、選択したGhostScriptのディストリビューションを使用するようにモビリティ・プリントを設定することができますが、
これは推奨されません。
|
警告: この応用設定を続けると、GhostTrapで提供しているサンドボックスの保護を失うことになります。
詳細は前述の「GhostTrapの利点」を参照してください。 |
macOS & Linux
Ghostscript の最新バージョンを使用していることを確認してください。
Ghostscriptは、モビリティ・プリントのセットアップ手順の一部としてインストールされているはずです。
Windows
モビリティ・プリントの設定手順に記載している方法でGhosTrapがインストール済みの場合、下記手順に移動してください。
GhostTrapがすでにインストールされていない場合、GhostTrapをインストールしてから下記の手順に進んでください。
GhostTrapがインストールされている前提で、最新のGhostScriptのバージョンをインストールし、
新しくインストールされたバージョンを使用するようにレジストリを更新する必要があります。
注記: これらの手順を実行すると、GhostScriptのアップデートを維持する責任が生じ、
前述するChromiumサンドボックスによる保護も失われます。
最新のWindows版GhostScriptのインストーラを入手してください。
その後、GhostScriptの最新バージョンをインストールし、
新しくインストールされたバージョンを使用するようにレジストリを更新する必要があります。
1. 最新のGhostScript for Windowsインストーラをこちらからダウンロードしてください。
(インストール先 例: C:\Program Files\gs\gs9.55.0)
2. Binフォルダ内のGhostScriptバイナリ(gswin64c.exe) をgsc-trapped.exeにコピーしてください。
注記: コピーを作成すると、元のgswin64c.exeとgsc-trapped.exeという名前の新しいコピーの両方が保存されます。
3. レジストリ・エディタを起動し、次のレジストリを見つけてください:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\GhostTrap
4. InstallPathを次のように設定してください: C:\Program Files\gs\gs9.55.0
(もしくはGhostScriptバイナリをインストールした場所)
5. フォルダ「C:\Program Files (x86)\GhostTrap」を削除します。
これにより古いGhostScriptファイルが削除されます。
注記: GhostTrapをアンインストールしないでください。必要なレジストリキーが削除されます。
6. モビリティ・プリント・サーバを再起動してください。
そしてPostScriptのプリント・ジョブをテストのため送信してください。
注記: モビリティ・プリントのログファイルにps2pdfの記録があれば動作しています。
2022/03/09 11:26:33
mobility-print.exe: STDOUT|SUPPORT: ps2pdf is found and is working: {"ps2pdf":"C:\\PROGRA~1\\gs\\GS955~1.0\\bin\\gsc-trapped.exe"}
{"src":"ps2pdf.go:50"}
製品の更新
ベストプラクティスに沿って、近い将来GhostTrapをアップデートする予定です。ご質問がある場合は弊社までお問合せください。
-------------------------
https://www.papercut.com/kb/Main/GhostScriptVulnerabilities
0 件のコメント :
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。