Perlツール「cpanm」に深刻な脆弱性 パッチ未公開のため緩和策の適用を：セキュリティニュースアラート

CPAN Security Groupは、Perlツール「App::cpanminus」（通称：cpanm）に重大な脆弱性が存在すると報告した。この脆弱性はCVE-2024-45321として特定されており、パッチが公開されていないため緩和策を講じることが推奨されている。

[後藤大地，有限会社オングス]

　CPAN Security Groupは2024年8月26日（現地時間）、「App::cpanminus」（通称：cpanm）に重大な脆弱（ぜいじゃく）性が存在することを伝えた。

　cpanmはプログラミング言語Perlのアーカイブである「CPAN」（Comprehensive Perl Archive Network）からPerlモジュールをインストールするために利用されるツールだ。公式CPANクライアントの代替として広く利用されている。

cpanminusに見つかった重大な脆弱性「CVE-2024-45321」

　見つかった脆弱性は「CVE-2024-45321」として特定されており、共通脆弱性評価システム（CVSS）v3.1のスコア値9.8で、深刻度「緊急」（Critical）に分類されている。cpanmがデフォルト設定で安全ではないHTTPを使用してコードをダウンロードしているため、この脆弱性が悪用された場合、悪意のあるコードが実行される可能性がある。

　影響を受けるバージョンは以下の通りだ。

• cpanminus 1.7047およびそれ以前のバージョン

　CVE-2024-45321に対するセキュリティパッチはまだ提供されていないため、ユーザー自身でこの問題を緩和する必要がある。緩和策はCPAN Security Groupから提供されている。

　推奨されている緩和策は以下の通りだ。

• HTTPSミラーを設定：　"--from"コマンドライン引数を使用してHTTPS ミラーを使用するよう構成する。または環境変数PERL_CPANM_OPTを設定して、cpanmが常にHTTPS経由で接続できる
• cpanm実行ファイルにパッチを適用する：　全てのHTTPエンドポイントをHTTPSに置換するパッチをcpanmの実行ファイル自体に適用する。この方法でBackPanやTRIALリリースのサポートを維持しつつ、セキュリティを強化できる
• 代替クライアントの使用：　安全なHTTPSをデフォルトで使用するCPAN.pm（バージョン2.35以降）やApp::cpmといった他のCPANクライアントに移行する

　ユーザーは推奨されているこれらの緩和策を講じることでCVE-2024-45321の問題を回避できる。またセキュリティパッチが適用されたバージョンがリリースされた際には速やかにアップデートすることが求められる。