CVEに深刻度「緊急」に分類されるcurlの脆弱性が登録された。だがこの情報について開発者らは問題は修正済みかつCVEの評価が不適切だと指摘している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
サイバーセキュリティにおいて、米国国立標準技術研究所(NIST)が運営する脆弱(ぜいじゃく)性データベースに登録される共通脆弱性識別子(CVE)は、脆弱性に関する情報得たりその深刻度を測ったりする上での有益な情報源だ。CVEのスコアに沿って全世界の当局やセキュリティベンダーが行動を起こすといったエコシステムがある。
だがこのスコアが必ずしも正しいとは限らない。データ転送ライブラリ「curl」の開発者らが2023年8月26日(現地時間、以下同)、curlの古いバグがなぜかCVEに登録され深刻度「緊急」の脆弱性として全世界に伝わってしまうという事態が発生した。
curlはコマンドラインやスクリプトからデータ転送を実行するライブラリで、多くのユーザーに利用されている。今回curlの開発者たちは、自分たちが登録していないにもかかわらず古いバグが脆弱性としてCVE登録されるという事態に遭遇した。誰が何の目的でこれを登録したのか本稿執筆時点では分かっていない。
開発者らによると、2023年8月25日にcurlの脆弱性を示す「CVE-2020-19909」が公開された。CVE-2020-19909が示す内容は2019年に指摘された整数オーバーフローのバグであり、この問題はすでに修正されている。
通常、新しいCVEにはその年が付与されるためCVE-2023-から始まるが、このCVEにはCVE-2020-と古いIDが使われている。しかも内容も2019年に発見された修正済みのバグであるという奇妙な点がある。
さらに、このCVEは共通脆弱性評価システム(CVSS)のスコアが「9.8」という高い値が付けられている点も不可解だとされている。curlの開発者は、内容を確認すればこの問題にスコア値9.8をつけるのは不適切だということは判断できるが、登録時にそうした点までは確認されていないようだと指摘している。
開発者らが指摘する通り、CVE-2020-19909はスコア9.8で深刻度が「緊急」に分類されているがその評価は適切ではない可能性がある。自組織で脆弱性の内容を確認して適切に対処することが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.