Microsoft、ASP.NET Coreの重大な脆弱性 CVE-2025-55315を公表

セキュリティニュース

投稿日時: 更新日時:

Microsoft、ASP.NET Coreの重大な脆弱性 CVE-2025-55315を公表

2025年10月14日、Microsoft(マイクロソフト)はASP.NET Core(Kestrel)においてHTTPリクエスト/レスポンスの解釈不一致(CWE-444)に起因する脆弱性「CVE-2025-55315」への対処を公表しました。

対応状況と提供されている修正

  • 公式ステータスOfficial Fix(公的修正提供済み)、悪用は未確認

  • 関連製品:ASP.NET Core(Kestrel)、.NET ランタイム/SDK、Visual Studio 2022 などにセキュリティ更新が順次提供されています。

概要

公開時点で悪用は確認されておらず、公表もされていないため「Exploitation Less Likely」としています。CVSS v3.1の基本値は9.9と非常に高く、条件次第ではフロントエンドのセキュリティ制御をすり抜けて別のHTTP要求を紛れ込ませることが可能になります。

一方、外部記事では未認証での攻撃が可能になる構成もありうると警鐘が鳴らされており、実際のリスクは各システムの実装や周辺コンポーネント(リバースプロキシ/WAF等)との組み合わせに大きく依存します。機密性の高いデータを扱うアプリケーションでは、最悪シナリオを前提に即時の更新が推奨されます。

 

影響範囲と想定リスク

  • 対象コンポーネント:ASP.NET Core のKestrel Webサーバ(.NET 2.3/8.0/9.0系の影響を受ける構成)

  • 攻撃成立条件:Microsoftの評価では権限要件は「低(PR:L)」で、ユーザー操作は不要(UI:N)、ネットワーク越し(AV:N)で、スコープ変更(S:C)が発生し得ます。

  • 想定される結果:フロントエンド制御の迂回、二重送信・行分割等によるリクエストの混入(Smuggling)、その結果として

    • 資格情報・セッションの窃取(機密性:高)

    • ファイル内容の改変等(完全性:高)

    • プロセス障害の誘発(可用性:低)
      が起こり得ます。

※ Microsoftの公式FAQは「認証済み攻撃者が悪性HTTPリクエストを送ることで悪用可能」と説明しています。運用中の認証・フロント側機構の前提が崩れる構成では、未認証に見える経路が生じる場合もあるため、実装・経路の棚卸しが重要です。

緊急対策(開発・運用の実務手順)

.NET 8 以降で稼働している場合

  1. Windows Update / Microsoft Update から .NET セキュリティ更新を適用します。

  2. アプリケーションの再起動またはOS再起動を行います。

  3. 逆プロキシ(IIS、Nginx、Apache等)やWAFを併用している場合は、ヘッダー分割や曖昧な改行・長さ不一致を拒否する設定を有効化し、ログで不整合を監視します。

.NET 2.3 系を使用している場合

  1. プロジェクトの依存関係で Microsoft.AspNet.Server.Kestrel.Core を「2.3.6」へ更新します。

  2. 再コンパイルし、再デプロイします。

  3. 依存パッケージのロックファイルを更新し、CI/CDで確実に新バージョンが反映されるよう確認します。

自己完結型(Self-contained)/単一ファイル配布アプリの場合

  1. 最新の .NET 更新を取得した上で、アプリをリビルドします。

  2. 再デプロイ後、実運用経路でHTTP/1.1 と HTTP/2 の双方を用いた回帰テストを実施します。

影響評価とチェックリスト

  • どの経路でKestrelを露出しているか(直結/リバースプロキシ配下/ロードバランサ配下)を棚卸しします。

  • ヘッダー改行(CR/LF)、Content-Length と Transfer-Encoding の競合、複数Hostヘッダーなど、スミuggling誘発要素をフロントでブロックできているかを確認します。

  • APIゲートウェイ/WAFの署名更新とアノマリ検知(不正な二重送信・行分割・不可解な再送)のアラート閾値を見直します。

  • 直近のアクセスログで、不自然な分割・重複・サイズ不一致がないかをスポット検査します。

  • ビルド済みコンテナや自己完結配布物を利用している場合、ベースイメージ/ランタイムの更新と再発行を徹底します。