Apache プログラムからディペンデンシコンフュージョン脆弱性発見

セキュリティメディアHacker Newsによると、 Apache プロジェクトの一つであるCordova App Harnessから脆弱性が見つかったそうです。これをエクスプロイトすろと、ディペンデンシコンフュージョン攻撃を実施できます。この攻撃が成功する場合、開発者や管理者は他のパッケージをダウンロードすることがあり、攻撃者はそれを通じて悪性パッケージを複数のプロジェクトに設置できるようになります。まだこの脆弱性が実際の攻撃に活用された事例は発見されていないが、攻撃者は探しているのでいつでも悪用の恐れがあります。

この頃のソフトウェアは複雑に絡んでいます。Aというソフトウェアで特定の機能を修行するためにBというソフトウェアを必要とし、BはまたCに依存します。このような「依存性」を「ディペンデンシ」と言います。従って、このチェーンの一部だけに侵入して悪性コードを設置してもあっちこっちへ広がるようになります。 Apache チームではCordova App Harnessから発見された脆弱性を解決した状態だそうです。

ハッカーニュースは、「サードパーティーの要素をプログラム開発に活用するという行為そのものが危険かもしれないということを、全ての開発者が認知しておくべきです」と言いました。