「curl」ユーティリティーに深刻な脆弱性–パッチは公開済み

今回は「「curl」ユーティリティーに深刻な脆弱性–パッチは公開済み」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 「curl」ユーティリティーは、その開発者らによると200億ものシーンで使用されているという。しかし今回、深刻な問題につながりかねない脆弱性の存在が明らかになった。

 「CVE-2023-38545」という共通脆弱性識別子が割り当てられたこの脆弱性はどれほど深刻なのだろうか。curlのリード開発者であるDaniel Stenberg氏は「curlの長い歴史の中で最悪とも言えるセキュリティ上の問題だ」と自身のブログに記している。セキュリティ専門家らもStenberg氏に同意している。

 具体的に説明すると、このセキュリティホールは「SOCKS5」というプロトコルを使用する際に悪用可能になる。SOCKS5は比較的シンプルなプロトコルであり、専用の「プロキシ」(仲介者)を介するネットワーク通信で用いられるものだ。これは「Tor」(匿名での通信を可能にしたり、組織や企業内からプライベートなかたちでインターネットにアクセスしたりするために用いられるオープンソースソフトウェア)経由での通信を行う際に用いられている。また、「NordVPN」や、「Private Internet Access」「Hide.me」といった一部のVPN(仮想プライベートネットワーク)でも、インターネット上のコンテンツブロック機能をう回したり、匿名性を保証したりするために用いられている。

 CVE-2023-38545はメモリーヒープオーバーフローの脆弱性だ。この脆弱性が悪用された場合、遠隔地からのコード実行(RCE)が引き起こされる恐れがある。また、この脆弱性を悪用した攻撃方法を示す概念実証(PoC)コードも既に存在している。

 この脆弱性は2020年2月に作り込まれてしまったものであり、「libcurl」のバージョン7.69.0〜8.3.0に存在している。

 curlがさまざまなOSやアプリケーション、IoTデバイスで幅広く用いられているという事実を考えた場合、Stenberg氏がこの問題を早期に報告したのは賢明な戦略的判断だったと言えるだろう。これにより組織は、自らのシステムを監査し、curlとlibcurlの使用状況を洗い出し、組織全体でのパッチ適用に向けた包括的な計画を策定するための十分な時間を捻出できた。

 また、curl開発プロジェクトの行動はそれだけにとどまらなかった。同脆弱性に関する情報はさまざまなLinuxやUNIX、そしてUNIXライクなディストリビューションの開発者らにも同時に共有された。こうした協業型のアプローチにより、curlのバージョン8.4.0が公式にリリースされる前に、パッチとアップデート済みパッケージの準備を確実に整えることができた。

 筆者もcurl開発プロジェクトと同様、curl/libcurlをバージョン8.4.0にアップデートするか、旧バージョンにパッチを適用することで、こうした脆弱性に起因するリスクを緩和するようユーザーに強く推奨する。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ペプチド医薬品開発を手がける宮崎大学発「ひむかAMファーマ」が総額6億円超のシリーズB調達、創薬開発を進展
IT関連
2022-01-18 12:17
インターネットトラフィック、約7%が悪意あるもの
IT関連
2024-07-18 13:12
三菱商事とNTTデータ、国産RPAのグローバル展開で提携
IT関連
2021-07-01 05:14
2020年の企業IT投資実績に大きな変化なし–IDC調査
IT関連
2021-07-14 11:55
AWSジャパン、人への投資を加速–「デジタルスキル調査:第3弾」を発表
IT関連
2023-04-21 02:42
ContractS、「ContractS CLM」で法務相談と契約書作成を一元化する新機能
IT関連
2024-01-31 02:52
三菱地所、都内でワークスペースのマッチングサービス ホテルの空き部屋などを有効活用
企業・業界動向
2021-02-23 22:07
バッタの耳をロボットのセンサーに バイオハイブリッドロボット「Ear-Bot」 :Innovative Tech
トップニュース
2021-03-13 02:22
TikTokがTwitter、Instagramに続き有料サブスク導入を限定テスト、クリエイターの収益化の道を探る
IT関連
2022-01-22 00:47
主なIT系上場企業における賃金の男女差とその理由とは? 男性の育休取得率は? 2024年版
働き方
2024-07-10 15:21
テスラが車内カメラでAutopilot使用中のドライバーを監視
モビリティ
2021-05-31 01:23
VMware、自宅サーバ愛好家のために「動作保証はないけど動くらしい」非公式ハードウェアリストを作成開始、コミュニティに情報提供を呼びかけ
Docker / コンテナ / 仮想化
2022-03-15 14:52
マイクロソフト、「Microsoft 365 Copilot」の新機能を多数発表–「Copilot Pages」など
IT関連
2024-09-20 05:36
愛猫の消費カロリー自動算出 IoT首輪「Catlog」新機能 ”パーソニャルな食事量”の参考に
ネットトピック
2021-05-25 16:10