PHPサプライチェーンのコアコンポーネント「Packagist」に脆弱性 急ぎ確認を
PHPソフトウェアのパッケージリポジトリである「Packagist」に、ソフトウェアサプライチェーン攻撃が可能になる脆弱性が存在することが明らかになった。深刻度はCVSS v3のスコアが8.8で「重要」(High)と位置付けられている。
スイスのセキュリティ企業SonarSourceは2022年10月4日(現地時間)、同社のブログでPHPソフトウェアパッケージリポジトリ「Packagist」に「重要」(High)に分類される脆弱(ぜいじゃく)性を同社が発見し、関係者に情報を開示したと伝えた。
PackagistはPHPサプライチェーンの中心的なコンポーネントで、ソフトウェアの依存関係を調査してダウンロードを実行するPHPパッケージマネジャー「Composer」のメインリポジトリだ。
同脆弱性は発見から数時間後には管理者によって修正されており、オフィシャルのPackagistを使っている場合はすでにリスクのない状態になっていると説明されている。
Composerのソースコードに脆弱性が見つかる
SonarSourceによれば、Packagistで使用されているComposerのソースコードに重大な脆弱性が発見された。脆弱性の深刻度はCVSS v3のスコアが8.8で「重要」に位置付けられている。
同脆弱性を利用されると、PHPソフトウェアパッケージの情報を配信するサーバが制御される危険性があり、最終的に同リポジトリを使用する全ての組織に対して、悪意のある依存関係を配布するなどのサイバー攻撃を実行できる可能性がある。
オフィシャルのPackagistインスタンスを利用していたり、Private Packagistを利用していたりする場合は、同脆弱性の影響は受けないとされているが、Composerをライブラリとして統合して信頼されていないリポジトリで運用している際には注意が必要だ。少なくともComposer 1.10.26や2.2.12、2.3.5などにアップデートしてセキュリティパッチを適用することが推奨されている。
近年のソフトウェア開発では、オープンソースソフトウェアで提供されるさまざまなサードパーティー製ソフトウェアが利用されている。これらを利用する際にパッケージ管理システムは欠かせない存在だ。しかし、この仕組みや脆弱性を悪用するソフトウェアサプライチェーン攻撃の動きも活発化している。
実際、GitHub.comなど人気の高いサービスやPythonのオフィシャルリポジトリなどを利用したサイバー攻撃もみられる。この状況が収まる積極的な理由は見当たらない。今後もこうしたリスクが存在することを認識するとともに、必要に応じて迅速に対応できるようにしておくことが望まれる。
関連記事
- セキュリティ強化のためにまずやるべきことは“脆弱性管理ではない”?
ソフトウェアサプライチェーンの脆弱性が相次ぎ、CIOにはセキュリティ強化が求められている。これに向けて脆弱性管理やオープンソースの出どころを調査する取り組みを多くの企業が進めているが、これらの他にまずやるべきことがあるという。 - Microsoft Exchange Serverの脆弱性に対する緩和策 不十分で回避可能
MicrosoftはMicrosoft Exchange Serverにゼロデイの脆弱(ぜいじゃく)性が存在することを明らかにした。Microsoftはこの問題に対して緩和策を発表したが、セキュリティ研究者によれば公開された緩和策は不十分なようだ。 - CISAが連邦政府機関に運用指令を発行 サイバーセキュリティ資産の可視化などを義務付け
CISAは連邦政府機関にサイバーセキュリティ資産の可視化および脆弱(ぜいじゃく)性検出の改善を指示する拘束力のある運用指令を発行した。これは、米国連邦政府の文民機関に義務付けられたものだが、CISAは民間企業やその他の政府組織に対しても実施を推奨している。 - 絶対強者のMSに並べ Googleはセキュリティ企業のリーダーになれるか?
昨今、深刻なソフトウェアサプライチェーン攻撃が続き、テクノロジー業界と政府がオープンソースソフトウェアの保護に関心を寄せている。Googleはこれを機にセキュリティ企業のリーダーとして名乗りを上げたいようだ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.