本当に合ってる? curlの古いバグが「緊急」の脆弱性としてCVE登録される:セキュリティニュースアラート
CVEに深刻度「緊急」に分類されるcurlの脆弱性が登録された。だがこの情報について開発者らは問題は修正済みかつCVEの評価が不適切だと指摘している。
サイバーセキュリティにおいて、米国国立標準技術研究所(NIST)が運営する脆弱(ぜいじゃく)性データベースに登録される共通脆弱性識別子(CVE)は、脆弱性に関する情報得たりその深刻度を測ったりする上での有益な情報源だ。CVEのスコアに沿って全世界の当局やセキュリティベンダーが行動を起こすといったエコシステムがある。
だがこのスコアが必ずしも正しいとは限らない。データ転送ライブラリ「curl」の開発者らが2023年8月26日(現地時間、以下同)、curlの古いバグがなぜかCVEに登録され深刻度「緊急」の脆弱性として全世界に伝わってしまうという事態が発生した。
深刻度9.8は誤情報か? 自組織で内容を確認し適切な対処を
curlはコマンドラインやスクリプトからデータ転送を実行するライブラリで、多くのユーザーに利用されている。今回curlの開発者たちは、自分たちが登録していないにもかかわらず古いバグが脆弱性としてCVE登録されるという事態に遭遇した。誰が何の目的でこれを登録したのか本稿執筆時点では分かっていない。
開発者らによると、2023年8月25日にcurlの脆弱性を示す「CVE-2020-19909」が公開された。CVE-2020-19909が示す内容は2019年に指摘された整数オーバーフローのバグであり、この問題はすでに修正されている。
通常、新しいCVEにはその年が付与されるためCVE-2023-から始まるが、このCVEにはCVE-2020-と古いIDが使われている。しかも内容も2019年に発見された修正済みのバグであるという奇妙な点がある。
さらに、このCVEは共通脆弱性評価システム(CVSS)のスコアが「9.8」という高い値が付けられている点も不可解だとされている。curlの開発者は、内容を確認すればこの問題にスコア値9.8をつけるのは不適切だということは判断できるが、登録時にそうした点までは確認されていないようだと指摘している。
開発者らが指摘する通り、CVE-2020-19909はスコア9.8で深刻度が「緊急」に分類されているがその評価は適切ではない可能性がある。自組織で脆弱性の内容を確認して適切に対処することが求められる。
関連記事
- 攻撃者は何曜日にランサムウェアを仕掛けるのか? 2023年上半期Sophosレポートが公開
Sophosは2023年上半期のサイバーセキュリティ分析レポートを発表した。サイバー侵害の根本原因やサイバー攻撃が活発化する時間帯、ランサムウェア攻撃の最新動向などが明らかにされた。 - Gartnerが2023年のセキュリティトレンドを発表 企業がやるべき9つのトピック
Gartnerから「2023年のサイバーセキュリティのトップ・トレンド」が発表された。ビジネスの急速な変化やサイバー攻撃の激化に伴い、企業はどうセキュリティを変えていくべきなのか。 - データ暗号化は“時代遅れ”? ランサムウェアグループの攻撃手法に起きた変化とは
Areteが2023年上半期のサイバーセキュリティ動向を報告した。身代金やランサムウェアグループ、攻撃手法などの変化を指摘し、講じるべき対策について解説した。 - 1900台超のCitrix NetScalerにバックドアが仕込まれている、日本でも確認
「Citrix NetScaler」の脆弱性を悪用するエクスプロイトキャンペーンが報告された。1900台以上にバックドアが仕込まれ、日本でも影響が確認されている。セキュリティパッチ適用後もリスクが残るため迅速な対応が求められる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.