curlに認証情報漏えいの可能性がある脆弱性 直ちに対応を：セキュリティニュースアラート

cURLプロジェクトはcurlに認証情報漏えいの脆弱性「CVE-2024-11053」が存在すると発表した。この脆弱性は.netrcファイルとHTTPリダイレクトの併用により発生する。

[後藤大地，有限会社オングス]

　cURLプロジェクトは2024年12月11日（現地時間）、データ転送ライブラリ／ツール「curl」に認証情報漏えいの可能性がある脆弱（ぜいじゃく）性「CVE-2024-11053」が存在することを発表した。

　この脆弱性は「.netrc」ファイルとHTTPリダイレクトを併用する特定の条件下で発生する欠陥とされている。

curlの新たな脆弱性「CVE-2024-11053」　悪用可能な特定の条件とは

　CVE-2024-11053は、認証情報に.netrcファイルを使用しており、HTTPリダイレクトに従うように要求された場合、最初のホストに使用されたパスワードが後続のホストに漏えいする可能性がある脆弱性とされている。

　この欠陥は.netrcファイルにリダイレクト先のホスト名と一致するエントリーがあり、そのエントリーがパスワードのみ、またはログイン名とパスワードの両方を省略している場合にのみ発生する。

　この脆弱性の影響を受けるcurlのバージョンは以下の通りだ。

• curl 6.5から8.11.0までのバージョン

　脆弱性が修正されたcurlのバージョンは以下の通りだ。

• curl 8.11.1およびこれ以降のバージョン

　なおcurl 6.5以前のバージョンはCVE-2024-11053の影響を受けないとされている。また、この脆弱性が公開された当初、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）はCVE-2024-11053の共通脆弱性評価システム（CVSS）を9.1と評価し、深刻度「緊急」（Critical）に位置付けていた。ただしその後修正され、現在のCVSSは3.4で深刻度「注意」（Low）に変更されている。

　cURLプロジェクトは、次の推奨事項を提示している。

• curlおよびlibcurlをバージョン8.11.1以降にアップデートする
• パッチを適用後、ソフトウェアを再構築する
• .netrcをHTTPリダイレクトと併用しないよう設定を変更する

　深刻度の評価はさらに変動する可能性はあるため、該当するバージョンを使用している場合、速やかにアップデートを実施することが望まれる。