minimatchパッケージにReDoSの脆弱性(CVE-2022-3517)が見つかりました。この脆弱性は、braceExpand関数が特定の引数で呼び出された場合に、サービス拒否(DoS)を引き起こす可能性があります。影響を受けるのはminimatchパッケージです。この問題はバージョン3.0.5で修正されています。
minimatch パッケージにおいて、braceExpand 関数内で脆弱性が発見されました。CVE-2022-3517 は、この関数に特定の引数を渡すことで悪用可能な Regular Expression Denial of Service (ReDoS) 脆弱性を説明しています。攻撃者は、関数がシステムリソース (CPU、メモリ) を過剰に消費するような悪意のある入力を送信し、アプリケーションの不安定化や完全な停止を引き起こす可能性があります。この脆弱性の深刻度は CVSS スコア 7.5 と評価されており、重大なリスクを示しています。このリスクを軽減するため、minimatch をバージョン 3.0.5 以降にアップデートすることが重要です。この脆弱性は、ファイルパターンマッチングに minimatch を使用するプロジェクトに影響を与えます。例えば、ビルドツール、コンテンツ管理システム、ファイルパターン拡張に依存するその他のアプリケーションなどです。
この脆弱性は、minimatch の braceExpand 関数に慎重に作成された入力文字列を送信することで悪用されます。この文字列は、基盤となる正規表現内の過剰なバックトラック動作をトリガーするように設計されています。これにより、システムリソースの不均衡な消費につながります。攻撃者は、ユーザーインターフェースまたは API を介して悪意のある入力を送信できるため、特別な権限を必要としません。正規表現の複雑さにより、特定の修正がないと検出および防止が困難です。アプリケーションが braceExpand 関数で使用されるユーザー入力を適切に検証していない場合、悪用の可能性は高くなります。悪用はサイレントに行われる可能性があり、すぐに目に見えるエラーを生成するのではなく、時間の経過とともにシステムパフォーマンスが低下するだけです。
エクスプロイト状況
EPSS
0.45% (64% パーセンタイル)
CVSS ベクトル
CVE-2022-3517 の主な軽減策は、minimatch ライブラリをバージョン 3.0.5 以降にアップデートすることです。このバージョンには、ReDoS 攻撃を防ぐ修正が含まれています。直ちにアップデートできない場合は、braceExpand を使用しているコードを調べて、悪意のあるデータの潜在的な入力ポイントを特定してください。関数に渡されるパターンの複雑さを制限するために、入力検証を実装できます。さらに、minimatch を使用するアプリケーションでのシステムリソース (CPU、メモリ) の使用状況を監視することで、進行中の ReDoS 攻撃を検出するのに役立ちます。Web Application Firewall (WAF) を実装することで、潜在的に悪意のある入力パターンをフィルタリングし、追加の保護レイヤーを提供できます。アップデートが最も効果的で推奨される解決策です。
Actualice el paquete minimatch a la versión 2.5.4 o superior para mitigar el riesgo de denegación de servicio por ReDoS. Puede hacerlo utilizando npm o yarn: `npm install minimatch@latest` o `yarn add minimatch@latest`.
脆弱性分析と重要アラートをメールでお届けします。
ReDoS (Regular Expression Denial of Service) は、正規表現の複雑さを悪用してシステムリソースを過剰に消費するタイプの DoS 攻撃です。
必ずしもそうではありません。braceExpand 関数を使用し、ユーザー入力を適切に検証していないアプリケーションに影響を与えます。
braceExpand を使用しているコードを調べて、パターンを制限するために入力検証を実装することを検討してください。
minimatch を使用するアプリケーションでのシステムリソース (CPU、メモリ) の使用状況を監視します。リソース使用率の急激な増加は、攻撃を示している可能性があります。
静的および動的分析ツールがあり、複雑で潜在的に脆弱な正規表現パターンを特定するのに役立ちます。