Snowflake Connector for C/C++の脆弱性CVE-2025-46329が公開、バージョン2.2.0で修正済み

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2025年05月のアーカイブ一覧
【2025年05月】セキュリティに関するアーカイブ一覧
【2025年05月08日】セキュリティに関するアーカイブ一覧
Snowflake Connector for C/C++の脆弱性CVE-2025-46329が公開、バージョン2.2.0で修正済み

記事の要約

Snowflake Connector for C/C++の脆弱性CVE-2025-46329が公開された
バージョン0.5.0から2.1.9までのクライアントサイド暗号化キーがログに記録される脆弱性
2.2.0で修正済み

Snowflake Connector for C/C++の脆弱性情報公開

GitHubは2025年4月29日、Snowflake Connector for C/C++(libsnowflakeclient)におけるセキュリティ上の脆弱性CVE-2025-46329に関する情報を公開した。この脆弱性は、ログレベルがDEBUGに設定されている場合に、クライアントサイドの暗号化マスターキーがローカルログに記録されるというものだ。

このマスターキー自体は、追加のアクセス権限がない限り機密データへのアクセスを許可するものではなく、Snowflakeのサーバーサイドにはログとして記録されない。影響を受けるのはバージョン0.5.0から2.1.9までのlibsnowflakeclientである。

Snowflakeはバージョン2.2.0においてこの脆弱性を修正している。ユーザーは速やかにバージョン2.2.0以降へのアップデートを行うべきだ。

脆弱性詳細

項目	詳細
CVE ID	CVE-2025-46329
公開日	2025-04-29
影響を受けるバージョン	>= 0.5.0, < 2.2.0
修正済みバージョン	2.2.0
脆弱性の種類	CWE-532: Insertion of Sensitive Information into Log File
CVSSスコア	3.3 (LOW)
ベンダ	snowflakedb
製品	libsnowflakeclient

GitHubアドバイザリ

クライアントサイド暗号化キーについて

この脆弱性で問題となるのは、クライアントサイド暗号化マスターキーがローカルログに記録される点だ。このキーは、追加のアクセス権限がない限り、データへのアクセスを許可しない。

キー単体ではデータにアクセスできない
追加の認証が必要
サーバーサイドにはログされない

しかし、ローカルログに記録されることで、攻撃者がローカルマシンにアクセスした場合、このキーを取得し、他の脆弱性と組み合わせることでデータへのアクセスを試みる可能性がある。

CVE-2025-46329に関する考察

この脆弱性は、ログレベルの設定ミスによって発生するものであり、比較的影響範囲は限定的だと言える。しかし、影響を受けるバージョンを使用しているユーザーは、速やかにアップデートを行うことが重要である。放置することで、攻撃者による情報漏洩のリスクが高まるからだ。

今後、同様の脆弱性が他のSnowflake Connectorや関連製品でも発見される可能性がある。そのため、Snowflakeは継続的なセキュリティ監査と迅速なパッチ適用体制の構築に注力すべきだろう。また、開発者向けには、ログレベルの設定に関するベストプラクティスを明確に示すガイドラインの提供も必要となる。

さらに、この脆弱性のような、開発者側の設定ミスに起因する脆弱性を防ぐための、より強力なセキュリティ対策の導入が期待される。例えば、ログに記録される情報の自動的なマスキング機能や、ログレベルの設定に関する自動チェック機能などが考えられる。