Curl 8.21.0 Released With 18 Security Fixes
2026/06/25 gbhackers — curl プロジェクトが、275 回目のリリースとなるバージョン 8.21.0 を発表した。このリリースには重要なセキュリティ・アップデートが含まれており、新たに開示された 18 件の脆弱性に対処している。今回のアップデートは、通常よりも多くのセキュリティ報告を反映したものである。2026年6月24日に、プロジェクト・メンテナーである Daniel Stenberg により新バージョンが発表された。このリリースは、単一リリースで対処される脆弱性の件数と、1 年間で対処される件数の双方で、過去最多を記録した。

curl 8.21.0 の概要
このアップデートは、531 件のコミットと 276 件のバグ修正を含むものであり、56 日間の開発サイクルを費やすものであった。100 人を超える開発者が貢献しており、curl/libcurl を支援する広範なセキュリティ監査の取り組みが示されている。
脆弱性の大半は、Medium または Low の深刻度に分類されている。しかし、デプロイメントの状況によっては、一部の脆弱性の影響により認証情報の漏洩/メモリ破損/不適切な認証処理につながる可能性がある。
Medium 深刻度の脆弱性には、メモリ破損を引き起こす可能性がある SASL における double-free の脆弱性 CVE-2026-8925 が含まれる。また、脆弱性 CVE-2026-8927/CVE-2026-11856 は、proxy 間およびオリジン間での Digest 認証状態の漏洩の欠陥である。
CVE-2026-9079 は、古い proxy パスワードに伴うリスクを示しており、複数の proxy を使用する環境で機密性の高い認証情報を露出させる可能性がある。
Low 深刻度の脆弱性は、さまざまなプロトコルおよび機能にわたる広範な攻撃対象領域を示している。
たとえば、脆弱性 CVE-2026-9080 は、socket callback における use-after-free の問題である。脆弱性 CVE-2026-10536 は、HTTP/2 ストリーム依存関係における use-after-free の欠陥に関するものである。また、脆弱性 CVE-2026-11586 は、特定の条件下での WebSocket Auto-PONG におけるメモリ枯渇の問題を示している。
その他の脆弱性は、プロトコル処理およびセキュリティ制御に影響を及ぼす。それらには、不適切な SSH ホスト検証の CVE-2026-9547 や、STARTTLS の誤った再利用 CVE-2026-8286、デフォルトのプロトコル設定に起因する SSH 検証のスキップ CVE-2026-12064 などが含まれる。
さらに、referer ヘッダー漏洩の CVE-2026-9546 や HTTP/3 early data の露出 CVE-2026-9545 などにより、複数の情報開示リスクがもたらされる。
| CVE ID | Severity | Description |
|---|---|---|
| CVE-2026-8925 | Medium | SASL double-free |
| CVE-2026-8927 | Medium | Cross-proxy Digest auth leak |
| CVE-2026-9079 | Medium | Stale proxy password leak |
| CVE-2026-11856 | Medium | Cross-origin auth leak |
| CVE-2026-8286 | Low | STARTTLS reuse issue |
| CVE-2026-8458 | Low | Incorrect service reuse |
| CVE-2026-8924 | Low | Cookie handling issue |
| CVE-2026-8926 | Low | Password leak via netrc |
| CVE-2026-8932 | Low | mTLS reuse mismatch |
| CVE-2026-9080 | Low | Use-after-free |
| CVE-2026-9545 | Low | HTTP/3 early data exposure |
| CVE-2026-9546 | Low | Old referer leak |
| CVE-2026-9547 | Low | SSH validation flaw |
| CVE-2026-10536 | Low | HTTP/2 UAF |
| CVE-2026-11352 | Low | QUIC busy-loop |
| CVE-2026-11564 | Low | CA trust persistence |
| CVE-2026-11586 | Low | Memory exhaustion |
| CVE-2026-12064 | Low | SSH verification bypass |
curl 8.21.0 は、セキュリティの向上を意図するものであるが、いくつかの新機能も導入されている。そこに含まれるのは、ファイル・アップロード時の名前付き glob サポート/HTTP/3 proxy CONNECT機能/MASQUE CONNECT-UDP 機能/libssh における SHA256 ホスト鍵のサポートなどである。
このリリースは、より軽量で安全なコードベースを目指すものである。NTLM/SMB/TLS-SRP/内部暗号の実装といった複数のレガシー機能の段階的な廃止の方針も示している。
curl の履歴には、合計 206 件の文書化された脆弱性が存在する。このリリースは、広く使用されるネットワーク・ライブラリに対する精査の必要性を強調するものとなっている。
curl/libcurl に依存する組織にとって必要なことは、特に proxy 認証/HTTP/2/SSH ベースの転送を使用する環境において、速やかにアップグレードを実施し、潜在的なリスクを緩和することである。次回のリリースは、延長された開発サイクルを経て、2026年9月2日が予定されている。
訳者後書:通信用のライブラリとして広く使われる curl において、多数の不具合が修正されました。具体的には、複数の経路を経由する通信時の処理不備や、内部的な記憶領域の誤った管理方法といった設計上の問題点が対処されました。これらを放置すると、認証に使う大切な暗号情報の漏洩や、システムの異常終了などが発生する恐れがあります。対応策として、利用している環境の該当ツールの、最新バージョンへと速やかなアップデートが必要となります。関連情報として、curl での検索結果も、ご参照ください。
You must be logged in to post a comment.