本当に合ってる？ curlの古いバグが「緊急」の脆弱性としてCVE登録される：セキュリティニュースアラート

CVEに深刻度「緊急」に分類されるcurlの脆弱性が登録された。だがこの情報について開発者らは問題は修正済みかつCVEの評価が不適切だと指摘している。

[後藤大地，有限会社オングス]

　サイバーセキュリティにおいて、米国国立標準技術研究所（NIST）が運営する脆弱（ぜいじゃく）性データベースに登録される共通脆弱性識別子（CVE）は、脆弱性に関する情報得たりその深刻度を測ったりする上での有益な情報源だ。CVEのスコアに沿って全世界の当局やセキュリティベンダーが行動を起こすといったエコシステムがある。

　だがこのスコアが必ずしも正しいとは限らない。データ転送ライブラリ「curl」の開発者らが2023年8月26日（現地時間、以下同）、curlの古いバグがなぜかCVEに登録され深刻度「緊急」の脆弱性として全世界に伝わってしまうという事態が発生した。

curlの古いバグがCVE登録されて深刻度「緊急」の脆弱性と伝わっている（出典：curl開発者ダニエル・ステンバーグ氏のWebサイト）

深刻度9.8は誤情報か？　自組織で内容を確認し適切な対処を

　curlはコマンドラインやスクリプトからデータ転送を実行するライブラリで、多くのユーザーに利用されている。今回curlの開発者たちは、自分たちが登録していないにもかかわらず古いバグが脆弱性としてCVE登録されるという事態に遭遇した。誰が何の目的でこれを登録したのか本稿執筆時点では分かっていない。

　開発者らによると、2023年8月25日にcurlの脆弱性を示す「CVE-2020-19909」が公開された。CVE-2020-19909が示す内容は2019年に指摘された整数オーバーフローのバグであり、この問題はすでに修正されている。

　通常、新しいCVEにはその年が付与されるためCVE-2023-から始まるが、このCVEにはCVE-2020-と古いIDが使われている。しかも内容も2019年に発見された修正済みのバグであるという奇妙な点がある。

　さらに、このCVEは共通脆弱性評価システム（CVSS）のスコアが「9.8」という高い値が付けられている点も不可解だとされている。curlの開発者は、内容を確認すればこの問題にスコア値9.8をつけるのは不適切だということは判断できるが、登録時にそうした点までは確認されていないようだと指摘している。

　開発者らが指摘する通り、CVE-2020-19909はスコア9.8で深刻度が「緊急」に分類されているがその評価は適切ではない可能性がある。自組織で脆弱性の内容を確認して適切に対処することが求められる。