セキュリティ

SECURITY

公開：2024-07-20

lighttpdの6年前の脆弱性、多くの製品で未修正のまま残存していることが判明

text: XEXEQ編集部

記事の要約

• lighttpdに解放済みメモリ使用の脆弱性が発見
• CVE-2018-25103として2024年6月に識別
• 多くの製品で未だ修正されていない可能性

lighttpdの脆弱性、6年経過も未修正の製品多数

軽量Web サーバーソフトウェアlighttpdに重大な脆弱性が発見された。この脆弱性は2018年に発見されたにもかかわらず、2024年になってようやくCVE-2018-25103として正式に識別された。脆弱性の内容は解放済みメモリ使用（use-after-free）で、HTTP ヘッダー解析コードに存在する。^[1]

この脆弱性は2018年10月にリリースされたバージョン1.4.51で修正されている。しかし、BinarlyやrunZeroの調査によると、2024年4月の時点で多くの製品がこの脆弱性を含んだまま使用されている可能性が高い。lighttpdは低リソース環境向けに設計されているため、組み込み機器などでの使用が多く、脆弱性の影響範囲が広がる恐れがある。

解放済みメモリ使用（use-after-free）とは

解放済みメモリ使用（use-after-free）とは、プログラムがメモリを解放した後にそのメモリを参照しようとする脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• メモリ管理の不備により発生する脆弱性
• プログラムのクラッシュや予期せぬ動作を引き起こす可能性
• 攻撃者による任意のコード実行のリスクがある
• 検出が困難で、静的解析だけでは見つけにくい
• C言語やC++など低レベル言語で特に注意が必要

この種の脆弱性は、メモリ管理を手動で行う必要がある言語で特に発生しやすい。プログラマーがメモリを解放した後にそのポインタを無効化しなかったり、他の部分で同じポインタを使用し続けたりすることで問題が起こる。解放済みメモリ使用は、セキュリティ上重大な問題となる可能性が高く、早急な対応が求められる脆弱性の一つである。

lighttpdの脆弱性に関する考察

lighttpdの脆弱性が6年間も未修正のまま残されていた事実は、ソフトウェアのセキュリティ管理における深刻な問題を浮き彫りにしている。特に組み込み機器などで広く使用されているlighttpdの特性を考えると、この脆弱性が悪用された場合、IoTデバイスの大規模な乗っ取りやボットネットの形成など、深刻な被害が発生する可能性が高い。この事態は、オープンソースソフトウェアの脆弱性管理の難しさと重要性を再認識させる出来事だ。

今後、lighttpdを使用している製品の開発者やメンテナーは、迅速にアップデートを行い、脆弱性に対処することが求められる。同時に、ユーザーに対しても適切な情報提供と更新の呼びかけが必要だろう。さらに、長期的には、ソフトウェアの脆弱性情報を効率的に追跡し、迅速に対応できるシステムの構築が望まれる。このような仕組みがあれば、今回のような長期間にわたる未修正状態を防ぐことができるはずだ。

この事例は、オープンソースコミュニティや企業、セキュリティ研究者の協力の重要性を示している。脆弱性の発見から修正、そして広範な適用までの一連のプロセスを効率化し、セキュリティ情報の共有と対応の迅速化を図ることが急務だ。lighttpdの脆弱性問題を教訓として、ソフトウェアエコシステム全体でのセキュリティ意識の向上と、継続的な監視・更新体制の構築が不可欠である。

参考サイト

1. ^ JVN. 「JVNDB-2024-004335 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-004335.html, (参照 24-07-20).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧