curl 8.4.0がリリース 「おそらく最悪」と評価される脆弱性を修正:セキュリティニュースアラート
cURLプロジェクトはcurlの新しいバージョン「curl 8.4.0」を公開した。このバージョンでは開発者が「最悪の脆弱性」と称す脆弱性が修正されている。
cURLプロジェクトは2023年10月11日(現地時間)、データ転送ライブラリ「curl」の最新版となる「curl 8.4.0」を公開した。多少の機能追加や変更も実施されているが、主に脆弱(ぜいじゃく)性の修正が注目されるバージョンになっている。
開発者が「おそらく最悪」と称する脆弱性を修正
curlコマンドはネットワークにおけるデータ転送を実行するためのコマンドラインユーティリティーだ。「Linux」や「Mac OS」などで使われており、近年、「Windows」にもデフォルトのコマンドとして取り込まれている。
HTTPSやHTTPだけでなく、FTPやFTPS、SCP、SFTP、LDAP、LDAPS、SMTP、POP3、IMAPなどさまざまなプロトコルに対応している。提供されるオプションも豊富で、コマンドラインからさまざまなネットワーク利用が可能となる。
curlコマンドはlibcurlライブラリを使って実装されている。curlで実現されている機能の多くがlibcurlで実装されたものであり、このライブラリを使うことで他のソフトウェアもcurlコマンドと同等の機能を実現できる。libcurlライブラリはマルチプラットフォームに対応しており、さまざまなOSで利用可能だ。
先日、curlの開発者が次のようなコメントを発表したことで注目を集めている。
We are cutting the release cycle short and will release curl 8.4.0 on October 11, including fixes for a severity HIGH CVE and one severity LOW. The one rated HIGH is probably the worst curl security flaw in a long time.(リリース・サイクルを短縮して10月11日にcurl 8.4.0をリリースする予定にしている。このリリースには深刻度が「重要(HIGH)」と評価された脆弱性と「低(LOW)」と評価された脆弱性の修正が含まれている。重要と評価された脆弱性はおそらくcurlの歴史において最悪の脆弱性ではないかとみられる。)
「おそらく最悪」と分析された脆弱性は「CVE-2023-38545」として特定されており、SOCKS5におけるヒープバッファオーバーフローの脆弱性とされている。長いホスト名と遅いSOCKSプロキシという条件が整った状態で発現するとされており、curlを使っている場合、バージョン8.4.0以降になっているか確認するとともに、古いバージョンを使用している際にはバージョンアップの適用が推奨されている。
curl 8.4.0が公開されてから修正内容を検討したセキュリティ研究者らからは「おそらく最悪」という評価は行き過ぎたものではないかという指摘もある。深刻度の評価は今後変動する可能性があるが、悪用が可能であることは間違いがないため、該当バージョンを使用している場合はアップデートを実施してほしい。
関連記事
- 全銀システムでの障害 中継コンピューターのシステム更改時に発生か
全銀ネットは2023年10月11日、全銀システムで発生中の不具合について記者会見を開催した。今回の障害は中継コンピューターのシステム更改時に発生したとされている。 - CloudflareとGoogle、AWSが注意喚起 ゼロデイ脆弱性「HTTP/2 Rapid Reset」とは?
CloudflareとGoogle、AWSは共同でゼロデイ脆弱性「HTTP/2 Rapid Reset」を発表した。これはHTTP/2のストリームキャンセル機能を悪用して極度に大規模なDDoS攻撃を引き起こすもので過去最大の攻撃が観測されている。 - “偽サイトを見分けよう”という行為自体がもう危ない
このコラムでは「導入するだけで全ての脅威を防ぐ完璧なソリューションは存在しない」ということを繰り返しお伝えしています。しかしフィッシングや詐欺となると、どうしても“銀の弾丸”を求める人が出てきてしまうようです。 - ランサムウェアHelloKittyのソースコードがハッキングフォーラムに漏えい
ランサムウェアHelloKittyのソースコードがロシア語圏で人気のハッキングフォーラムで公開されていると報じられた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.