suricataの脆弱性(Important: CVE-2025-29915, Medium: CVE-2025-29916, CVE-2025-29917, CVE-2025-29918)

04/18/2025にsuricataの脆弱性(Important: CVE-2025-29915, Medium: CVE-2025-29916, CVE-2025-29917, CVE-2025-29918)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

CVSS/プライオリティ

• CVE-2025-29915
  • 影響するバージョン
    • N/A
  • Priority/EPSS
    • NVD: 7.5 High
    • Red Hat: 7.5 Important
  • CVSS Score / CVSS Vector
    • NVD: Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
    • Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
  • EPSS Score/Percentile
    • DATE(JST): 2025-04-19
    • EPSS: 0.000150000
    • Percentile: 0.018580000
• CVE-2025-29916
  • 影響するバージョン
    • N/A
  • Priority/EPSS
    • NVD: 6.2(MEDIUM)
    • Red Hat:
  • CVSS Score / CVSS Vector
    • NVD: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Red Hat:
  • EPSS Score/Percentile
    • DATE(JST): 2025-04-19
    • EPSS: 0.000150000
    • Percentile: 0.020330000
• CVE-2025-29917
  • 影響するバージョン
    • N/A
  • Priority/EPSS
    • NVD: 6.2(MEDIUM)
    • Red Hat:
  • CVSS Score / CVSS Vector
    • NVD: Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Red Hat:
  • EPSS Score/Percentile
    • DATE(JST): 2025-04-19
    • EPSS: 0.000150000
    • Percentile: 0.020580000
• CVE-2025-29918
  • 影響するバージョン
    • N/A
  • Priority/EPSS
    • NVD: 6.2(MEDIUM)
    • Red Hat:
  • CVSS Score / CVSS Vector
    • NVD: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Red Hat:
  • EPSS Score/Percentile
    • DATE(JST): 2025-04-19
    • EPSS: 0.000230000
    • Percentile: 0.046190000

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• https://www.cve.org/CVERecord?id=CVE-2025-29915
  • AF_PACKETデフラグオプションによるパケット切り捨て
  • AF_PACKETデフラグオプションはデフォルトで有効になっており、AF_PACKETをSuricataに到達前にフラグメント化されたパケットを再構成します。しかしながら、SuricataのデフォルトパケットサイズはNICのMTUに基づいているため、Suricataはパケットが切り捨てられていると認識してしまいます。
• https://www.cve.org/CVERecord?id=CVE-2025-29916
  • Suricata datasets: ルール設定によるリソースの枯渇
  • ルールで宣言されているデータセットには、使用する”ハッシュサイズ”を指定するオプションがあります。このサイズ設定が適切に制限されていなかったため、ハッシュテーブルの割り当てが大きくなる可能性があります。信頼できないルールにより、大量のメモリ割り当てが発生し、リソース不足によるDoS攻撃につながる可能性があります。
• https://www.cve.org/CVERecord?id=CVE-2025-29917
  • Signatureによる大きなメモリ割当
  • decode_base64キーワードのバイト数設定が適切に制限されていませんでした。これにより、このキーワードと設定を使用するSignatureは、スレッドあたり最大4GiBという大規模なメモリ割り当てを引き起こす可能性があります。
• https://www.cve.org/CVERecord?id=CVE-2025-29918
  • Suricata pcre: pcrの否定による無限ループの可能性
  • PCREルールを記述する際、否定形のPCREを使用すると無限ループが発生する可能性があります。これにより、パケット処理スレッドが無限ループに陥ります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2025-29915
  • https://security-tracker.debian.org/tracker/CVE-2025-29916
  • https://security-tracker.debian.org/tracker/CVE-2025-29917
  • https://security-tracker.debian.org/tracker/CVE-2025-29918
• Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
  • https://access.redhat.com/security/cve/CVE-2025-29915
  • https://access.redhat.com/security/cve/CVE-2025-29916
  • https://access.redhat.com/security/cve/CVE-2025-29917
  • https://access.redhat.com/security/cve/CVE-2025-29918
• Ubuntu
  • https://ubuntu.com/security/CVE-2025-29915
  • https://ubuntu.com/security/CVE-2025-29916
  • https://ubuntu.com/security/CVE-2025-29917
  • https://ubuntu.com/security/CVE-2025-29918
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2025-29915.html
  • https://www.suse.com/security/cve/CVE-2025-29916.html
  • https://www.suse.com/security/cve/CVE-2025-29917.html
  • https://www.suse.com/security/cve/CVE-2025-29918.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]