curlの複数の脆弱性(CVE-2018-1000005, CVE-2018-1000007)

1/25/2018にcurlに複数の脆弱性情報(CVE-2018-1000005, CVE-2018-1000007)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

CPU由来の脆弱性情報(Meltdown and Spectre Vulnerability : CVE-2017-5753, CVE-2017-5754, CVE-2017-5715) が出ていますのでご注意ください。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面和毅です。

Low(CVE-2018-1000005)/Moderate(CVE-2018-1000007)

各ディストリビューションの情報を確認してください。

境界外読み込みによるクラッシュまたはデータの開示の可能性
重要度 – Low
影響を受けるバージョン : libcurl 7.49.0 から 7.57.0
libcurlのHTTP/2 trailerの処理に問題が見つかりました。HTTP/1のようなヘッダをHTTP/2 trailerデータから作成するとき、文字列”:”がターゲットバッファに現れた場合、これは”: “(コロンのあとに空白が追加された)に最近変更されましたが、関連した部分で正しく更新されていない場合がありました。これにより、クラッシュまたはデータの開示の可能性があります。

認証データの第三者への漏洩の可能性
重要度 – Moderate
影響を受けるバージョン : libcurl 7.1 から 7.57.0
HTTPでカスタムヘッダーを送るようにリクエストされた場合、libcurlはヘッダーのセットを最初のURLでホストに送信しますが、リダイレクトに続いて0X HTTPレスポンスコードが返された場合、ホストはURLのLocation:レスポンスヘッダ値を渡します。特にカスタムのAuthorizaion:ヘッダをパスするようなアプリケーションの場合には、このヘッダにセンシティブな情報が含まれることがあるため、問題となることがあります。

詳細は、各ディストリビューションの提供元にご確認ください

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

Red Hat Satelliteを用いた一般的なErattaの適用は、『Red Hat Satellite 6でerrataを適用してみる』を
参考にして下さい。

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2017のレポートが紹介されています。

著者が所属しているOSSセキュリティ技術の会では、02/23/(金)に「3コマ連続 [セキュリティトラック] OSSと脆弱性管理」と題して、OSSの利用と脆弱性管理に関しての、パネルディスカッションを含めたセッションを行います。

https://www.ospn.jp/osc2018-spring/modules/eguide/event.php?eid=49がプログラム内容の詳細になりますので、是非お申し込み下さい。

関連コンテンツ: curlの脆弱性 ( CVE-2017-2629 ); curlに複数の脆弱性(CVE-2017-8816, CVE-2017-8817, CVE-2017-8818); curlの脆弱性(CVE-2017-1000257)

—–