セキュリティ

SECURITY

公開：2024-11-27

【CVE-2024-9681】curlのHSTS実装に脆弱性、サブドメインの有効期限設定が親ドメインに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• curlのHSTS実装に関する脆弱性「CVE-2024-9681」が公開
• サブドメインの有効期限が親ドメインのキャッシュエントリを上書き
• HTTP通信からHTTPSへの変換時期に影響を及ぼす問題

curlのHSTS実装における脆弱性の影響

2024年11月6日、curlの開発チームはHSTS（HTTP Strict Transport Security）実装における重要な脆弱性「CVE-2024-9681」を公開した。この脆弱性は、HTTPスキームを使用してサブドメインと親ドメインの両方にアクセスする際に、サブドメインの有効期限設定が親ドメインのキャッシュエントリを意図せず上書きしてしまう問題を引き起こすことが明らかになっている。^[1]

この脆弱性は、curl 7.74.0から8.10.1までの広範なバージョンに影響を与えることが確認されている。HSTSを有効にしているアプリケーションにおいて、HTTPスキームを使用したURLでの通信時に、x.example.comのようなサブドメインとexample.comのような親ドメインへのアクセスを行う場合に問題が発生する可能性が高いだろう。

影響を受けるシステムでは、サブドメインからのStrict-Transport-Securityヘッダーの応答により、親ドメインのHSTSキャッシュの有効期限が意図せず変更される。この結果、HTTPからHTTPSへの変換タイミングが本来の設定と異なってしまい、セキュアな通信が適切なタイミングで行われない可能性が生じている。

影響を受けるcurlバージョンまとめ

HSSTについて

HSTS（HTTP Strict Transport Security）とは、Webサイトがブラウザに対してHTTPS通信の使用を強制するためのセキュリティポリシーのことを指す。主な特徴として以下のような点が挙げられる。

• HTTPSの使用を強制し、安全な通信を確保
• 中間者攻撃やダウングレード攻撃からの保護
• Strict-Transport-Securityヘッダーによる制御

curlの脆弱性はHSTSの実装に関連しており、サブドメインと親ドメインの間でキャッシュエントリの上書きが発生することにより、セキュアな通信の確保が困難になる。HSSTの本来の目的である通信の安全性確保が適切に機能せず、意図しないタイミングでHTTPSへの変換が行われる可能性が生じている。

curlのHSTS実装脆弱性に関する考察

curlのHSTS実装における脆弱性は、HTTPSへの強制変換というセキュリティ機能の根幹に関わる重要な問題を提起している。特にマイクロサービスアーキテクチャやサブドメインを多用する現代のWebアプリケーション開発において、この脆弱性はセキュリティとユーザビリティのバランスを再考する契機となるだろう。

今後の課題として、HSSTの実装におけるドメイン階層の扱いに関する標準化やガイドラインの整備が求められる。特にサブドメインと親ドメインの関係性を考慮したセキュリティポリシーの設計や、キャッシュ管理の仕組みについて、より厳密な仕様の策定が必要になってくるはずだ。

将来的には、HSSTの実装においてドメイン階層を考慮した柔軟なポリシー設定機能の追加が望まれる。セキュリティとユーザビリティの両立を目指し、より堅牢なWebセキュリティの実現に向けた技術革新に期待が集まっている。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-9681, (参照 24-11-27).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧