cURLで致命的な脆弱性(CVE-2024-11053)

cURLで致命的な脆弱性(CVE-2024-11053)

OSSのライブラリ、コマンドツールのcURL(カール)で致命的な脆弱性(CVE-2024-11053)が発生しました。対象者はアップデートして対応する事をお勧めします。

脆弱性の対象バージョン

 curl バージョン 6.5 から 8.11.0まで

6.5未満や8.11.0超は対象外

対処方法

curl と libcurlをバージョン 8.11.1へアップデート

推奨対策法

優先順位に従って、以下のいずれかのアクションを直ちに実行することをお勧めします。

A – curl と libcurl をバージョン8.11.1にアップグレードします

B – パッチをバージョンに適用して再構築する

C – netrc をリダイレクトと一緒に使用しない

脆弱性 CVE-2024-11053の概要

この脆弱性はCVSS スコア 9.1となっており、危険性が高い脆弱性で

ユーザー認証情報が意図せず公開される可能性があります。

この脆弱性は、.netrc認証情報を保存するファイルの使用と curl による HTTP リダイレクトの処理との相互作用から発生します。

特定の状況下では、curl が.netrcファイルを使用してリダイレクトに従うように構成されている場合、最初のホストのパスワードがリダイレクト先のホストに誤って漏洩する可能性があります。

これは、ファイル.netrcにリダイレクト先のホスト名のエントリが含まれているが、パスワードが省略されているか、ログインとパスワードの両方が省略されている場合に発生します。

参照

netrc and redirect credential leak

TOPへ