「過去最悪」の脆弱性に対処した「curl 8.4.0」が公開

「curl 8.4.0」が公開

　データ転送ライブラリ「curl」が10月11日（日本時間）、v8.4.0へとアップデートされた。以下の脆弱性に対処したセキュリティアップデートとなっている。

　今回のアップデートで修正された脆弱性は、以下の2件（括弧内は深刻度の評価）。

• CVE-2023-38545：SOCKS5のヒープバッファーオーバーフロー。「libcurl 7.69.0」およびそれ以降、「libcurl」と「curl」ツールの両方に影響（High）
• CVE-2023-38546：クッキーインジェクション。「libcurl 7.9.1」およびそれ以降、「libcurl」にのみ影響（Low）

　なかでも「CVE-2023-38545」は開発メンバーが「長年みてきたなかでおそらく最悪」と評したほどの脆弱性で、内容については徹底したかん口令が敷かれていた。リリースサイクルを逸脱してリリースされた点をみても、重大なセキュリティ欠陥であることがうかがわれる。

　なお、APIやABIに変更はないとのことで、バージョンを差し替えても不具合が生じる可能性は低い。できるだけ早く対処したほうがよいだろう。

　「curl」は、さまざまなプロトコルでデータ転送を行うオープンソース・クロスプラットフォーム対応のライブラリおよびそのコマンドラインツール（ライセンスは独自）。PCだけでなく、スマートフォンや家電、自動車に至るさまざまなデバイスで利用されており、最近のWindowsにも標準で含まれている。ソースコードのダウンロードは公式サイト「curl.se」などから行える。