「curl」に複数の脆弱性、アップデートにて解消
「curl」の開発チームは、「curl 7.88.0」にてサービス拒否の脆弱性など複数の脆弱性に対処した。
HTTPヘッダにおいて圧縮処理を無制限に指定でき、リソースを大量に消費させることが可能となる「CVE-2023-23916」が判明したもの。
また複数URLを連続して要求されると、「HTTP」の指定に対して「HTTPS」を利用する「Hypertext Strict Transport Security(HTTP Strict Transport Security)」が正しく機能せず平文で通信する脆弱性「CVE-2023-23914」「CVE-2023-23915」が明らかとなった。
開発チームでは、「CVE-2023-23916」について重要度を「中(Moderate)」、「CVE-2023-23915」「CVE-2023-23914」を「低(Low)」とレーティングしている。
一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」において「CVE-2023-23916」のベーススコアを「7.5」と評価。「CVE-2023-23914」を「9.1」、「CVE-2023-23915」を「6.5」と評価。重要度をそれぞれ「高(High)」「クリティカル(Critical)」「中(Medium)」とした。
開発チームでは、これら脆弱性のほか、バグの修正や機能の追加を行った「同7.88.0」を2月15日にリリース。3月7日の時点では、2月20日にリリースされた「同7.88.1」が最新版となっている。
(Security NEXT - 2023/03/07 )
ツイート
関連リンク
PR
関連記事
「XenServer」「Citrix Hypervisor」に脆弱性 - 情報流出やDoS攻撃のおそれ
先週注目された記事(2024年4月7日〜2024年4月13日)
「PAN-OS」に対するゼロデイ攻撃、国内被害は未確認
「PAN-OS」を狙う「Operation MidnightEclipse」 - 3月下旬より展開
Palo Alto Networksの「PAN-OS」にゼロデイ脆弱性 - パッチを準備中
サポート詐欺で患者情報含むPCが遠隔操作できる状態に - 富田林病院
イベント申込フォームで設定ミス、個人情報が閲覧可能に - 会津若松市
学校で個人情報含む入学関係書類を誤廃棄 - 横須賀市
人材育成プログラム「SecHack365」が応募受付をまもなく開始
フィッシングURLが前月比約84%増 - 使い捨てURLを悪用