セキュリティ

SECURITY

公開：2025-05-15

Snowflake-connector-nodejsの脆弱性CVE-2025-46328、バージョン2.0.4で修正

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Snowflake-connector-nodejsの脆弱性CVE-2025-46328が公開された
• バージョン1.10.0から2.0.4未満でTOCTOU脆弱性が存在
• ローカル攻撃者がログ設定を改ざんできる可能性

Snowflake-connector-nodejsの脆弱性情報公開

GitHubは2025年4月28日、Snowflake-connector-nodejsにおける脆弱性CVE-2025-46328に関するセキュリティアドバイザリを公開した。この脆弱性は、Snowflakeデータベースに接続するためのNode.jsドライバであるSnowflake-connector-nodejsに存在する。

影響を受けるのはバージョン1.10.0から2.0.4未満のバージョンであり、LinuxとmacOS環境でEasy Logging機能を使用している場合に、Time-of-Check to Time-of-Use (TOCTOU) race conditionが発生する可能性があるのだ。この脆弱性により、ローカル攻撃者がログ設定ファイルを書き換えることで、ログレベルや出力先を制御できる可能性がある。

2.0.4以降のバージョンではこの脆弱性が修正されているため、速やかなアップデートが推奨される。この脆弱性は、ローカル攻撃者によるログ設定の改ざんを許容する可能性があるため、深刻なセキュリティリスクとなる可能性がある。

脆弱性詳細と対応策

GitHubセキュリティアドバイザリ

TOCTOU脆弱性について

TOCTOU脆弱性とは、Time-of-Check to Time-of-Useの略で、アクセス権限のチェックと実際のアクセス処理の間に時間的なずれが生じることで発生する脆弱性である。このずれを利用して、攻撃者はアクセス権限のチェックをすり抜けることが可能になる。

• チェックと使用の間に状態が変化する
• ファイルの所有権やアクセス権の確認が不十分
• 競合状態を利用した攻撃が可能

この脆弱性は、システムのセキュリティに深刻な影響を与える可能性があるため、適切な対策を行うことが重要だ。特に、ファイルアクセスや権限管理を行う際には、TOCTOU脆弱性に対する対策を考慮する必要がある。

CVE-2025-46328に関する考察

Snowflake-connector-nodejsの脆弱性CVE-2025-46328は、ローカル攻撃者によるログ設定の改ざんを許容する可能性があるため、深刻なセキュリティリスクとなる可能性がある。迅速なアップデートが重要であり、企業は影響を受けるシステムのバージョンを確認し、速やかに2.0.4以降にアップデートする必要があるだろう。

しかし、全てのユーザーがすぐにアップデートできるわけではないため、暫定的な対策として、ログファイルへのアクセス権限を厳格に制限するなどの対策も必要となるだろう。また、将来的な対策として、より堅牢なアクセス制御機構の導入や、TOCTOU脆弱性に対するより高度な防御策の検討も必要となる。

この脆弱性の発見と公開は、オープンソースソフトウェアのセキュリティ確保において、コミュニティの貢献がいかに重要であるかを示している。今後も、継続的な監視と迅速な対応が求められるだろう。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-46328」. https://www.cve.org/CVERecord?id=CVE-2025-46328, (参照 25-05-15).
2496

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧