curl 8.21.0 がリリース:暗号情報の漏洩やシステムの異常終了などの 18件の問題に対処

Curl 8.21.0 Released With 18 Security Fixes

2026/06/25 gbhackers — curl プロジェクトが、275 回目のリリースとなるバージョン 8.21.0 を発表した。このリリースには重要なセキュリティ・アップデートが含まれており、新たに開示された 18 件の脆弱性に対処している。今回のアップデートは、通常よりも多くのセキュリティ報告を反映したものである。2026年6月24日に、プロジェクト・メンテナーである Daniel Stenberg により新バージョンが発表された。このリリースは、単一リリースで対処される脆弱性の件数と、1 年間で対処される件数の双方で、過去最多を記録した。

curl 8.21.0 の概要

このアップデートは、531 件のコミットと 276 件のバグ修正を含むものであり、56 日間の開発サイクルを費やすものであった。100 人を超える開発者が貢献しており、curl/libcurl を支援する広範なセキュリティ監査の取り組みが示されている。

脆弱性の大半は、Medium または Low の深刻度に分類されている。しかし、デプロイメントの状況によっては、一部の脆弱性の影響により認証情報の漏洩/メモリ破損/不適切な認証処理につながる可能性がある。

Medium 深刻度の脆弱性には、メモリ破損を引き起こす可能性がある SASL における double-free の脆弱性 CVE-2026-8925 が含まれる。また、脆弱性 CVE-2026-8927/CVE-2026-11856 は、proxy 間およびオリジン間での Digest 認証状態の漏洩の欠陥である。

CVE-2026-9079 は、古い proxy パスワードに伴うリスクを示しており、複数の proxy を使用する環境で機密性の高い認証情報を露出させる可能性がある。

Low 深刻度の脆弱性は、さまざまなプロトコルおよび機能にわたる広範な攻撃対象領域を示している。

たとえば、脆弱性 CVE-2026-9080 は、socket callback における use-after-free の問題である。脆弱性 CVE-2026-10536 は、HTTP/2 ストリーム依存関係における use-after-free の欠陥に関するものである。また、脆弱性 CVE-2026-11586 は、特定の条件下での WebSocket Auto-PONG におけるメモリ枯渇の問題を示している。

その他の脆弱性は、プロトコル処理およびセキュリティ制御に影響を及ぼす。それらには、不適切な SSH ホスト検証の CVE-2026-9547 や、STARTTLS の誤った再利用 CVE-2026-8286、デフォルトのプロトコル設定に起因する SSH 検証のスキップ CVE-2026-12064 などが含まれる。

さらに、referer ヘッダー漏洩の CVE-2026-9546 や HTTP/3 early data の露出 CVE-2026-9545 などにより、複数の情報開示リスクがもたらされる。

CVE IDSeverityDescription
CVE-2026-8925MediumSASL double-free
CVE-2026-8927MediumCross-proxy Digest auth leak
CVE-2026-9079MediumStale proxy password leak
CVE-2026-11856MediumCross-origin auth leak
CVE-2026-8286LowSTARTTLS reuse issue
CVE-2026-8458LowIncorrect service reuse
CVE-2026-8924LowCookie handling issue
CVE-2026-8926LowPassword leak via netrc
CVE-2026-8932LowmTLS reuse mismatch
CVE-2026-9080LowUse-after-free
CVE-2026-9545LowHTTP/3 early data exposure
CVE-2026-9546LowOld referer leak
CVE-2026-9547LowSSH validation flaw
CVE-2026-10536LowHTTP/2 UAF
CVE-2026-11352LowQUIC busy-loop
CVE-2026-11564LowCA trust persistence
CVE-2026-11586LowMemory exhaustion
CVE-2026-12064LowSSH verification bypass

curl 8.21.0 は、セキュリティの向上を意図するものであるが、いくつかの新機能も導入されている。そこに含まれるのは、ファイル・アップロード時の名前付き glob サポート/HTTP/3 proxy CONNECT機能/MASQUE CONNECT-UDP 機能/libssh における SHA256 ホスト鍵のサポートなどである。

このリリースは、より軽量で安全なコードベースを目指すものである。NTLM/SMB/TLS-SRP/内部暗号の実装といった複数のレガシー機能の段階的な廃止の方針も示している。

curl の履歴には、合計 206 件の文書化された脆弱性が存在する。このリリースは、広く使用されるネットワーク・ライブラリに対する精査の必要性を強調するものとなっている。

curl/libcurl に依存する組織にとって必要なことは、特に proxy 認証/HTTP/2/SSH ベースの転送を使用する環境において、速やかにアップグレードを実施し、潜在的なリスクを緩和することである。次回のリリースは、延長された開発サイクルを経て、2026年9月2日が予定されている。