こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
2022年2月にLinuxのライブラリ「Expat」について脆弱性(CVE-2022-25236、他2件)が発表されました。
悪用されると任意のコード実行を引き起こされる可能性があり、アメリカ国立標準技術研究所の脆弱性データベースでは危険度が Criticalとなっています。
https://nvd.nist.gov/vuln/detail/CVE-2022-25236
https://nvd.nist.gov/vuln/detail/CVE-2022-25235
https://nvd.nist.gov/vuln/detail/CVE-2022-25315
サーバー上で今回の脆弱性を悪用したXMLを読み込んでしまうと、最悪の場合サーバー上で任意のコードを実行されてしまう可能性もあります。
脆弱性の対象となるバージョン
影響を受けるバージョンはいずれも Expat バージョン2.4.5未満、と発表されています。
https://nvd.nist.gov/vuln/detail/CVE-2022-25236
https://nvd.nist.gov/vuln/detail/CVE-2022-25235
https://nvd.nist.gov/vuln/detail/CVE-2022-25315
脆弱性の対策
Amazon LinuxやRedhatを利用している場合は、OS提供元が公開している修正版のexpatおよび関連パッケージを確認して適用する形になります。他のOSの場合も提供元の発表を確認することをお勧めします。
■ Amazon Linux 2
https://alas.aws.amazon.com/AL2/ALAS-2022-1764.html
■ Red Hat Enterprise Linux Server 7
https://access.redhat.com/errata/RHSA-2022:1069
■ Red Hat Enterprise Linux Server 8
https://access.redhat.com/errata/RHSA-2022:0951
Webサイトへの影響について
ExpatはXMLのパーサライブラリとしてPythonやPerlの依存パッケージにも含まれています。その他、ApacheやPostfixの依存関係にも含まれますが、外部のXMLを読み込むような処理を行わなければ直ちに外部から攻撃される可能性はそこまで高くありません。
影響範囲も広くなるため、アップデートにあたっては十分な検証やバックアップが必要になり、その間は外部からXMLを読み込むような処理を極力無くす、といった対策が考えられます。
さいごに
サーバーで動作するソフトウェアについては日々膨大なセキュリティ情報が公開されており、現状利用しているシステムが影響を受けるものかどうかは常に確認が必要です。
弊社ではお客様サーバのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。
サイト制作、運用が多忙でサーバソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
