curlに認証情報漏えいの可能性がある脆弱性 直ちに対応を:セキュリティニュースアラート
cURLプロジェクトはcurlに認証情報漏えいの脆弱性「CVE-2024-11053」が存在すると発表した。この脆弱性は.netrcファイルとHTTPリダイレクトの併用により発生する。
cURLプロジェクトは2024年12月11日(現地時間)、データ転送ライブラリ/ツール「curl」に認証情報漏えいの可能性がある脆弱(ぜいじゃく)性「CVE-2024-11053」が存在することを発表した。
この脆弱性は「.netrc」ファイルとHTTPリダイレクトを併用する特定の条件下で発生する欠陥とされている。
curlの新たな脆弱性「CVE-2024-11053」 悪用可能な特定の条件とは
CVE-2024-11053は、認証情報に.netrcファイルを使用しており、HTTPリダイレクトに従うように要求された場合、最初のホストに使用されたパスワードが後続のホストに漏えいする可能性がある脆弱性とされている。
この欠陥は.netrcファイルにリダイレクト先のホスト名と一致するエントリーがあり、そのエントリーがパスワードのみ、またはログイン名とパスワードの両方を省略している場合にのみ発生する。
この脆弱性の影響を受けるcurlのバージョンは以下の通りだ。
- curl 6.5から8.11.0までのバージョン
脆弱性が修正されたcurlのバージョンは以下の通りだ。
- curl 8.11.1およびこれ以降のバージョン
なおcurl 6.5以前のバージョンはCVE-2024-11053の影響を受けないとされている。また、この脆弱性が公開された当初、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)はCVE-2024-11053の共通脆弱性評価システム(CVSS)を9.1と評価し、深刻度「緊急」(Critical)に位置付けていた。ただしその後修正され、現在のCVSSは3.4で深刻度「注意」(Low)に変更されている。
cURLプロジェクトは、次の推奨事項を提示している。
- curlおよびlibcurlをバージョン8.11.1以降にアップデートする
- パッチを適用後、ソフトウェアを再構築する
- .netrcをHTTPリダイレクトと併用しないよう設定を変更する
深刻度の評価はさらに変動する可能性はあるため、該当するバージョンを使用している場合、速やかにアップデートを実施することが望まれる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
TP-Link製の複数ルーターに深刻な脆弱性 対象製品とユーザーへの影響は?
TP-Link製ルーターに影響する脆弱性CVE-2024-53375が見つかった。この脆弱性を悪用するとリモートコード実行が可能になるため、早急に対処が必要だ。影響を受けるルーター製品を確認してほしい。
大企業にはマネできない 小さい組織ならではの冴えたランサムウェア対策
ランサムウェアが企業規模にかかわらず全ての企業を標的にする今、中堅・中小企業にとってもセキュリティ対策は必須となっています。今回は、小さい組織ならではで、かつ大企業には絶対にマネできない非常に強力なランサムウェア対策を紹介します。
ZabbixにCVSS 9.9の深刻な脆弱性 迅速なアップデートを推奨
Zabbixは監視ソリューション「Zabbix」に深刻な脆弱性があると報告した。リモートからの任意コード実行や権限昇格のリスクがあり、速やかなアップデートが推奨される。
Azureの多要素認証に重大な脆弱性 4億以上のMicrosoft 365アカウントに影響か
Oasis SecurityはMicrosoft Azureの多要素認証に回避可能な脆弱性が存在すると報告した。この問題は4億以上のMicrosoft 365アカウントに影響を及ぼす可能性がある。