CVE-2024-40896 (CVSS 9.1): Critical XXE Vulnerability Discovered in libxml2
2023/12/25 SecurityOnline — 人気の XML パース・ライブラリ libxml2 に、新たな脆弱性 CVE-2024-40896 (CVSS 9.1) が発見された。この脆弱性の悪用に成功した攻撃者は、システム侵害/機密データ窃取などの可能性を得るという。libxml2 は、C 言語で書かれた堅牢な XML 解析ライブラリである。さらに、C++/Python/Ruby などのプログラミング言語へのバインディングにより、その汎用性は強化され、多くの開発環境で標準的なツールとなっている。Web サービス/データ処理/システム構成などの各種アプリケーションで、libxml2 が広く利用される背景には、その優れた解析機能と効率性がある。
新たな脆弱性 CVE-2024-40896 は、libxml2 のバージョン 2.11.9 未満/2.12.9 未満/2.13.3 未満に影響を与える。この脆弱性は、ライブラリである SAX パーサーに存在し、開発者が上書きする場合であっても、外部エンティティを不用意に公開してしまう可能性のあるという。したがって、この欠陥を利用する攻撃者は、古典的な手法である XXE (XML External Entity) 攻撃を仕掛けられる。
XXE 攻撃とは
XXE 攻撃は、XML プロセッサの脆弱性を悪用して、ローカル・ファイルへのアクセス/コマンドの実行/サービス拒否攻撃などを可能にするものだ。libxml2 の脆弱性 CVE-2024-40896 を悪用する攻撃者は、システム・ファイル (例:/etc/passwd) などのユーザー認証情報にアクセスする可能性を手にする。
脆弱性がおよぼす影響
脆弱性 CVE-2024-40896 が悪用されると、以下のような事態にいたる可能性がある:
- 意図された保護機能の回避:この脆弱性は、libxml2 内の保護メカニズムの欠陥に起因し、アプリケーション内の問題に対する、開発者による特定/緩和を困難にする可能性がある。
- 深刻な結果を招く可能性:この脆弱性の悪用に成功した攻撃者は、データの盗難に留まらず、不適切なコンフィグ環境においてリモート・コード実行 (RCE) を実行し、システムを完全に制御する可能性も手にする。さらに、システム・リソースを枯渇させることで、サービス拒否 (DoS) を引き起こすことも考えられる。
ユーザーに推奨される緩和策
libxml2 のユーザーや開発者に推奨されるのは、可能な限り早急に最新バージョン (2.11.9/2.12.9/2.13.3) へと更新することだ。システム管理者たちに推奨されるのは、libxml2 に依存することで脆弱性を抱え込むアプリケーションの有無を、システム・スキャンにより特定することだ。
多種多様なアプリケーションで利用されている libxml2 なので、広範な影響が懸念される脆弱性となります。ご利用のチームは、十分に ご注意ください。よろしければ、libxml2 で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.