Rustセキュリティ対応ワーキンググループ、Cargoのセキュリティ脆弱性を公表

8月4日、Rustセキュリティ対応ワーキンググループがCargoのセキュリティ脆弱性に関する公式声明を発表した。

Rustセキュリティ対応ワーキンググループは、UNIX-likeシステム上で動作するパッケージマネージャであるCargoに深刻なセキュリティ脆弱性が見つかったと８月4日に公式に声明を発表した。この脆弱性はCVE-2023-38497として識別されており、影響を受けるのはRust 1.71.1より前のバージョンだ（macOSおよびLinuxを含む）。詳細はこちらからご確認いただける。

セキュリティ脆弱性の詳細と影響

UNIX-likeシステム上で稼働するCargoには、ユーザーがダウンロードしたクレートのアーカイブを展開する際に、umask（ファイルのアクセス権限を制御するシステムの設定）を適切に考慮しないという問題が発生していた。もしクレートに含まれるファイルが他のローカルユーザーによって書き換え可能な設定となっている場合、システム上の別のユーザーがそれを悪用し、現在のユーザーがコンパイル・実行するソースコードを改ざんすることが可能となる。これにより、意図しないコード実行などのセキュリティリスクが生じる恐れがある。

影響を受けるバージョンと対処方法

影響を受けるのはRust 1.71.1より前のバージョンであり、ユーザーはできるだけ早くRust 1.71.1にアップデートすることが推奨されている。Rust 1.71.1により、umaskを適切に尊重するように修正されており、この脆弱性を解消している。また、ユーザーが独自のツールチェーンをビルドしている場合には、旧バージョンに対するパッチも提供されている。さらなる詳細はこちらからご確認いただける。

感謝の意を示す

Rustセキュリティ対応ワーキンググループは、セキュリティ脆弱性の報告者であるAddison Crump氏に感謝の意を示している。また、この脆弱性の修正に協力したWeihang Lo氏や、修正の審査を行ったEric Huss氏、アドバイザーとして関与したPietro Albini氏、Manish Goregaokar氏、Josh Stone氏などにも感謝の意を表明している。

まとめ

Rustセキュリティ対応ワーキンググループによる公式声明により、Cargoのセキュリティ脆弱性（CVE-2023-38497）についての情報が公開された。影響を受けるバージョンはRust 1.71.1より前のUNIX-likeシステム上で動作する環境であり、ユーザーはRust 1.71.1へのアップデートを迅速に行うか、旧バージョンに対するパッチを導入することが推奨されている。引き続き、Rustプロジェクトはセキュリティ対応に取り組む姿勢を示している。

詳しい内容は「Security advisory for Cargo (CVE-2023-38497)」を参照してください。