Perlに重大な脆弱性、DoS攻撃やリモートコード実行の可能性 対象者はアップデートを(CVE-2024-56406)

2025年4月、汎用プログラミング言語であるPerlに、深刻なヒープバッファオーバーフローの脆弱性（CVE-2024-56406）が発見されました。パッチはリリースされているので対象者はアップデートする事をお勧めします。

脆弱性の対象バージョン

Perlバージョン5.34、5.36、5.38、5.40

脆弱性の対策バージョン

5.40.2または5.38.4

脆弱性の技術的概要

問題の原因は、Perlの「tr演算子」における非ASCIIバイトの処理にあります。具体的には、内部関数 S_do_trans_invmap() において、tr 演算子の左辺に非ASCII文字が含まれている場合に、宛先ポインタ「d」がオーバーフローを起こす可能性があります。

現時点でリモートからのコード実行（RCE）の実証例は確認されていませんが、この脆弱性は以下のようなシステムや環境で特に重大なリスクをもたらします。

• 共有ホスティング環境：複数のユーザーが同一システムでPerlスクリプトを実行するケースでは、他のユーザーへの影響が波及しやすい

• ユーザー入力を処理するサーバーサイドスクリプト：WebフォームやAPIなど、外部入力をPerlで処理している場合にDoSのリスク

• レガシーシステム：メモリ保護が不十分な古いOSやアーキテクチャでは、任意コード実行に繋がる恐れ

発見者であるNathan Mills氏は、このバグが悪意のあるスクリプトにより容易に引き起こされることから、広範なセキュリティ対策が必要であると警鐘を鳴らしています。