curl 8.4.0がリリース 「おそらく最悪」と評価される脆弱性を修正：セキュリティニュースアラート

cURLプロジェクトはcurlの新しいバージョン「curl 8.4.0」を公開した。このバージョンでは開発者が「最悪の脆弱性」と称す脆弱性が修正されている。

[後藤大地，有限会社オングス]

　cURLプロジェクトは2023年10月11日（現地時間）、データ転送ライブラリ「curl」の最新版となる「curl 8.4.0」を公開した。多少の機能追加や変更も実施されているが、主に脆弱（ぜいじゃく）性の修正が注目されるバージョンになっている。

cURLプロジェクトはcurl 8.4.0を公開した（出典：cURLプロジェクトのWebサイト）

開発者が「おそらく最悪」と称する脆弱性を修正

　curlコマンドはネットワークにおけるデータ転送を実行するためのコマンドラインユーティリティーだ。「Linux」や「Mac OS」などで使われており、近年、「Windows」にもデフォルトのコマンドとして取り込まれている。

　HTTPSやHTTPだけでなく、FTPやFTPS、SCP、SFTP、LDAP、LDAPS、SMTP、POP3、IMAPなどさまざまなプロトコルに対応している。提供されるオプションも豊富で、コマンドラインからさまざまなネットワーク利用が可能となる。

　curlコマンドはlibcurlライブラリを使って実装されている。curlで実現されている機能の多くがlibcurlで実装されたものであり、このライブラリを使うことで他のソフトウェアもcurlコマンドと同等の機能を実現できる。libcurlライブラリはマルチプラットフォームに対応しており、さまざまなOSで利用可能だ。

　先日、curlの開発者が次のようなコメントを発表したことで注目を集めている。

We are cutting the release cycle short and will release curl 8.4.0 on October 11, including fixes for a severity HIGH CVE and one severity LOW. The one rated HIGH is probably the worst curl security flaw in a long time.（リリース・サイクルを短縮して10月11日にcurl 8.4.0をリリースする予定にしている。このリリースには深刻度が「重要（HIGH）」と評価された脆弱性と「低（LOW）」と評価された脆弱性の修正が含まれている。重要と評価された脆弱性はおそらくcurlの歴史において最悪の脆弱性ではないかとみられる。）

　「おそらく最悪」と分析された脆弱性は「CVE-2023-38545」として特定されており、SOCKS5におけるヒープバッファオーバーフローの脆弱性とされている。長いホスト名と遅いSOCKSプロキシという条件が整った状態で発現するとされており、curlを使っている場合、バージョン8.4.0以降になっているか確認するとともに、古いバージョンを使用している際にはバージョンアップの適用が推奨されている。

　curl 8.4.0が公開されてから修正内容を検討したセキュリティ研究者らからは「おそらく最悪」という評価は行き過ぎたものではないかという指摘もある。深刻度の評価は今後変動する可能性があるが、悪用が可能であることは間違いがないため、該当バージョンを使用している場合はアップデートを実施してほしい。