2023年8月31日 / 最終更新日 : 2023年8月31日 Kazuo_Komoriya ほぼこもセキュリティニュース

2023年8月に公表されたCVE-2020-19909

ほぼこもセキュリティニュース By Terilogy Worx

CVE番号というものがあります。
CVEはCommon Vulnerabilities and Exposuresで、情報セキュリティの分野において、システムソフトウェアやWebアプリケーションなどの脆弱性やシステム上の攻撃可能な不備などに対し、一意の番号を付与したデータベースです。
セキュリティ研究者、ソフトウェア開発者やその会社、ソフトウェア利用者などいろいろな立場の人がこれを使用し、共通の会話ができる環境を提供しています。
このCVEに関連して、不可思議な事象がありました。

  • 2023年8月にCVE-2020-19909が公表された
    CVE-2020-19909の文字列の中には「2020」が含まれます。
    これは、このCVE番号が2020年に確保されたことを示します。
    これは一見普通のことです。
    CVE番号は問題かもしれない事象の発見者にあらかじめ確保され、関係者への連絡や問題の調査や対策が行われます。
    そして、然るべきタイミングが来た時に公表されるような動きをすることが良くあります。
    このため、番号の確保と公表は必ずしも同じ年であるとは限りません。
    しかし今回のケースは2020年のものが2023年に公表されました。
  • Curlのチーム
    CVE-2020-19909は、Curlに関連するものでした。
    世の中にはいろいろなソフトウェアがあり、そのソフトウェアによって開発体制やサポート体制は様々な形があります。
    Curlは、そういった意味では強固なサポート体制を持ったチームで維持されているといえます。
    Curlの脆弱性に関する情報を収集し、調査し、改修し、ドキュメント化し、公表しています。
    もちろん、その過程でタイムリーなCVEの確保や情報公開も実施します。
  • CVE-2020-19909が公表されたことを後になって知る
    前述のような体制をとっているため、Curlのチームは通常特定のCVE番号が公開される際にはすでにその内容を把握しています。
    もちろん、チーム内からの情報のみをトリガーとして活動しているわけではありませんので、チーム外からの情報で調査が開始されることはありますが、CVEが公表された後でそれを知るということは通常考えにくいことでした。
    CVEはそれが悪意ある人に悪用されないため、問題の発見者がソフトウェアの開発者と連携し、速やかに問題を改修して目途が立った段階で公表するような取り組みが行われていることが一般的であるため、Curlのチームメンバーは驚きました。
    CVE-2020-19909はこれが公表された後に、Curlのチームメンバーが知ることとなったのです。
  • 重大度が9.8だった
    CVE-2020-19909の重大度は、CVSS3.Xで9.8と設定されています。
    CVEの情報ではintegerのバッファーオーバーフローである旨が示されています。
    これが重大度が高いものと設定された理由かもしれません。
    しかし、公開された情報から確認すると、このCVE-2020-19909の問題はたしかにオーバーフローだったのですが、セキュリティの問題ではなく機能上のバグと考えられるものでした。
    もちろん、立場によってそのバグが脆弱性であると考えるということもある可能性はありますが、少なくともCurlのチームとしては、この問題が重大度9.8となるような大きな問題とは考えにくいものでした。
  • 改修済みだった
    このCVE-2020-19909は、Curlの7.65.2に存在するものとして報告しています。
    しかし、この問題は、2019年9月にリリースされたCurlの7.66.0で、すでに対応済みとなっている内容でした。
    過去のバージョンの問題を後になって公表することも時には重要ですが、はたして2019年に改修済みの情報を関係者に連絡することもなく2023年に公表することになにか大きな意味があったのでしょうか。

こんな話になっていました。
これはCVEの周辺の一つの事例です。
こういったことは初めてではありません。
いろいろなソフトウェアにおいて類似の問題がこれまでにも多数起こっています。

CVEはけしからん、もうCVEなんて使うのはやめよう、とか、そういうことではありません。
こういった多くの関係者で共通の会話ができるような環境は非常に重要です。是非使っていくべきです。
しかし、こういったものを過信し、そのスコアが大きいとか小さいとかに踊らされるのではなく、あくまでもツールとして接し、うまく活用していくということが重要なのかもしれないと思えます。

参考記事(外部リンク):CVE-2020-19909 IS EVERYTHING THAT IS WRONG WITH CVES
daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/

カテゴリー
ほぼこもセキュリティニュース
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

前の記事

Qakbot掃討作戦
2023年8月30日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

多くの改変版が出てくるSapphireStealer
2023年9月1日