セキュリティ

SECURITY

公開：2024-11-15

【CVE-2024-50353】ICG.AspNetCore.Utilities.CloudStorageにSAS Uri期間設定の脆弱性、バージョン8.0.0で修正完了

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ICG.AspNetCore.Utilities.CloudStorageの脆弱性が発見
• SAS Uriの期間設定に関する問題が判明
• バージョン8.0.0で修正済み

ICG.AspNetCore.Utilities.CloudStorageのSAS Uri期間設定の脆弱性

IowaComputerGurus社は、クラウドストレージファイル管理用ユーティリティライブラリICG.AspNetCore.Utilities.CloudStorageにおいて、SAS Uriの期間設定に関する重大な脆弱性【CVE-2024-50353】を公開した。このライブラリを使用してSAS Uriを生成する際、1時間以外の期間を設定した場合に意図した期間と異なる有効期限が設定される問題が確認されている。^[1]

この脆弱性はCVSS 3.1で基本スコア5.3（深刻度：中）と評価されており、攻撃者がネットワークを介して特権なしで攻撃可能であることが示されている。影響範囲は限定的であり、情報の機密性への影響が確認されているものの、整合性や可用性への影響は報告されていない。

IowaComputerGurus社は本脆弱性の修正版としてバージョン8.0.0をリリースしており、SAS Uriを実装していない環境では影響を受けないとしている。セキュリティ対策の観点から、影響を受ける可能性のあるユーザーには速やかな更新が推奨されている。

ICG.AspNetCore.Utilities.CloudStorageの脆弱性詳細

SAS Uriについて

SAS Uriとは、Shared Access Signature URIの略称で、クラウドストレージ上のリソースへの一時的なアクセス権を付与するための仕組みである。主な特徴として以下のような点が挙げられる。

• アクセス権限を細かく制御可能
• 有効期限を設定できる
• 特定のIPアドレスからのアクセスに制限可能

ICG.AspNetCore.Utilities.CloudStorageにおけるSAS Uri生成の問題は、設定された有効期間が意図したものと異なる可能性があり、セキュリティリスクとなっている。本来1時間以外の期間を指定した場合でも、正確な期間設定が反映されるべきだが、現状では正しく機能していない状態であることが判明している。

ICG.AspNetCore.Utilities.CloudStorageに関する考察

クラウドストレージの利用が増加する中、一時的なアクセス権限を付与するSAS Uriの重要性は今後さらに高まることが予想される。特にセキュアなファイル共有やアクセス制御が求められるエンタープライズ環境において、正確な有効期限の設定は重要な要素となっている。

今後の課題としては、SAS Uri生成時のバリデーション強化や、有効期限設定の正確性を確保するためのテスト強化が挙げられる。特に複数のクラウドプロバイダーに対応する場合、各プロバイダーの仕様の違いを考慮した実装が必要となるだろう。

将来的には、より柔軟な期間設定オプションの提供や、アクセス権限の動的な制御機能の追加が期待される。また、監査ログの強化やアクセス履歴の可視化など、セキュリティ管理機能の拡充も重要な課題となるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-50353, (参照 24-11-15).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧