プログラミング言語「R」に任意コード実行の脆弱性 悪用の可能性あり更新を：セキュリティニュースアラート

プログラミング言語「R」に脆弱性「CVE-2024-27322」が存在すると報じられた。この脆弱性は安全ではないデータシリアライゼーションにより生じ、システム上で任意のコードが実行される可能性がある。

[後藤大地，有限会社オングス]

　セキュリティ企業のHiddenLayerは2024年4月29日（現地時間）、プログラミング言語「R」に任意コードが実行可能な脆弱（ぜいじゃく）性が存在すると報じた。

　Rはデータ分析やデータマイニング、統計分析、統計モデリング、機械学習などデータ処理の分野で人気の高いプログラミング言語だ。データの操作や計算、可視化などを実施する機能が備わっており、パッケージなどを使って高品質なグラフィックスを生成できる。科学技術分野だけでなくビジネス分析や金融分析などデータを処理する必要のある分野で高い人気がある。

人気のプログラミング言語「R」にRDSファイルが引き起こす脆弱性

　今回見つかった脆弱性は、安全ではないデータシリアライゼーションが原因になっており、悪用された場合は最終的にシステム上で任意のコードが実行される危険性がある。この脆弱性は「CVE-2024-27322」として特定されている。

　脆弱性が存在するバージョンは以下の通りだ。

• R 1.4.0から4.4.0よりも前のバージョン

　脆弱性が修正されたバージョンは以下の通りだ。

• R バージョン4.4.0

　Rはデータシリアライゼーションやデータデシリアライゼーションをサポートしており、シリアライズされたデータは「.rds」または「.rdx」という拡張子のRDSファイル（R Data Serialization）として保存される。この他、Rは遅延評価機能もサポートしており、必要なタイミングで呼び出し可能となっている。

　CVE-2024-27322はこれらの機能や不具合を悪用するというものだ。具体的には、RDS形式で保持されているシリアライズされたPromiseクラスのオブジェクトが「eval（）関数」にロードされる際に、オブジェクト内部の値が未評価の状態で参照されると、本来のタイミングではなく直ちに評価が実行される問題だとされている。

　HiddenLayerはこの脆弱性がRDSファイルやRパッケージなどを介したサプライチェーン攻撃の一部として悪用される可能性があることを指摘している。該当バージョンを使用している場合は修正版にアップデートすることが望まれている。