cURLで致命的な脆弱性(CVE-2024-11053)
OSSのライブラリ、コマンドツールのcURL(カール)で致命的な脆弱性(CVE-2024-11053)が発生しました。対象者はアップデートして対応する事をお勧めします。
脆弱性の対象バージョン
curl バージョン 6.5 から 8.11.0まで
6.5未満や8.11.0超は対象外
対処方法
curl と libcurlをバージョン 8.11.1へアップデート
推奨対策法
優先順位に従って、以下のいずれかのアクションを直ちに実行することをお勧めします。
A – curl と libcurl をバージョン8.11.1にアップグレードします
B – パッチをバージョンに適用して再構築する
C – netrc をリダイレクトと一緒に使用しない
脆弱性 CVE-2024-11053の概要
この脆弱性はCVSS スコア 9.1となっており、危険性が高い脆弱性で
ユーザー認証情報が意図せず公開される可能性があります。
この脆弱性は、.netrc
認証情報を保存するファイルの使用と curl による HTTP リダイレクトの処理との相互作用から発生します。
特定の状況下では、curl が.netrc
ファイルを使用してリダイレクトに従うように構成されている場合、最初のホストのパスワードがリダイレクト先のホストに誤って漏洩する可能性があります。
これは、ファイル.netrc
にリダイレクト先のホスト名のエントリが含まれているが、パスワードが省略されているか、ログインとパスワードの両方が省略されている場合に発生します。
参照