セキュリティ

SECURITY

公開：2024-11-26

【CVE-2024-47877】extractライブラリにパストラバーサルの脆弱性、シンボリックリンク作成による攻撃のリスクに警鐘

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• extractライブラリに不十分なチェック機能の脆弱性
• 悪意のあるアーカイブで抽出ディレクトリ外にシンボリックリンクを作成可能
• バージョン4.0.0で脆弱性が修正済み

extractライブラリの脆弱性に関する注意喚起

Goのアーカイブ解凍ライブラリであるextractにおいて、zip、tar.gz、tar.bz2形式のアーカイブを解凍する際に深刻な脆弱性が発見され、2024年10月11日に公開された。この脆弱性は【CVE-2024-47877】として識別されており、悪意を持って作成されたアーカイブファイルによって、解凍対象ディレクトリの外部にシンボリックリンクを作成される可能性があることが判明している。^[1]

この脆弱性は、パス名の制限が不適切であることに起因しており、CWEではパストラバーサル（CWE-22）とUNIXシンボリックリンク追跡（CWE-61）に分類されている。CVSSスコアは6.9（MEDIUM）と評価され、ネットワークからのアクセスが可能で攻撃の複雑さは低いとされているが、完全性への影響は限定的であると判断された。

修正版となるバージョン4.0.0がリリースされ、Extractor.FSインターフェースを使用しているユーザーは新しく追加されたメソッドの実装が必要となっている。この脆弱性は全てのバージョン4.0.0未満のextractライブラリに影響を及ぼすため、早急なアップデートが推奨されている。

extractライブラリの脆弱性詳細

パストラバーサルについて

パストラバーサルとは、Webアプリケーションにおいて意図しないディレクトリへのアクセスを可能にする脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 相対パスや特殊文字を使用して上位ディレクトリへアクセス
• 重要なシステムファイルの閲覧や改ざんのリスク
• ディレクトリトラバーサルとも呼ばれる代表的な脆弱性

今回のextractライブラリの脆弱性では、アーカイブファイル解凍時のパス名チェックが不十分であることが問題となっている。攻撃者は特別に細工したアーカイブを使用することで、本来アクセスできないはずのディレクトリ外にシンボリックリンクを作成できる可能性があり、システムのセキュリティを脅かす深刻な問題となっているのだ。

extractライブラリの脆弱性に関する考察

extractライブラリの脆弱性修正は、アーカイブ解凍処理におけるセキュリティ強化の重要性を再認識させる契機となった。アーカイブ解凍は一見シンプルな処理に見えるが、シンボリックリンクやパストラバーサルなど複雑なセキュリティ考慮が必要であり、特にGoのような型安全性の高い言語でも油断は禁物である。

今後は同様の脆弱性を防ぐため、アーカイブ解凍時のパス名検証やシンボリックリンク処理に関するベストプラクティスの確立が求められる。特にGoのエコシステムでは、標準ライブラリとサードパーティライブラリの連携を考慮したセキュリティガイドラインの整備が重要になってくるだろう。

将来的には、このような脆弱性を自動的に検出できる静的解析ツールの開発や、セキュアなアーカイブ処理のためのフレームワークの整備が期待される。Goコミュニティ全体でセキュリティ意識を高め、より安全なライブラリ開発を推進していく必要があるのだ。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-47877, (参照 24-11-26).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧