「curl」の特定バージョンにクローズ処理が重複する脆弱性
データ転送ツール「curl」の開発プロジェクトは、特定バージョンに影響がある脆弱性についてセキュリティアドバイザリを公表した。アップデートで修正されている。
スレッド化された名前解決処理を行ったあとに接続を終了する際、二重にクローズ処理を行う脆弱性「CVE-2025-0665」が判明したもの。64ビットアーキテクチャ向けに「eventfd」を使用するよう構成している場合に影響を受ける。
現地時間2025年1月22日に報告を受けた。「curl 8.11.1」のみに存在し、同脆弱性はスレッド化されたリゾルバを使用するようビルドした「libcurl」のほか、「curl」のコマンドラインツールについても同脆弱性の影響を受けるとしている。
意図しない挙動によって動作が不安定な状態になるが、開発チームは、外部攻撃による悪用の可能性は限定的であると説明、脆弱性の重要度を「低(Low)」とレーティングした。
一方GitHubでは、共通脆弱性評価システム「CVSSv3.1」におけるベーススコアを「9.8」、重要度を「クリティカル(Critical)」と評価している。
開発チームでは、現地時間2月5日にリリースした「curl 8.12.0」にて同脆弱性を修正。あわせて緩和策などをアナウンスしている。
(Security NEXT - 2025/02/06 )
ツイート
PR
関連記事
「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
NETSCOUT「nGeniusONE」に複数の脆弱性 - アップデートで修正
Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
トレンドの法人向け複数製品に脆弱性 - アップデートで修正
「Erlang/OTP」に深刻なRCE脆弱性 - 概念実証コードも公開済み