Sleuth Kit tsk_recover パス・トラバーサル

この脆弱性は、攻撃者がファイルシステムイメージを操作し、ファイル名やディレクトリパスにパストラバーサルシーケンス（例：/../）を埋め込むことで、意図された復元ディレクトリ外にファイルを書き込めることを意味します。これにより、攻撃者はシステム設定ファイル（例えば、シェル設定ファイルやcronエントリ）を上書きし、リモートコード実行を達成する可能性があります。特に、The Sleuth Kitがシステム復元やフォレンジック分析に使用されている環境では、この脆弱性の悪用は重大なセキュリティリスクをもたらします。攻撃者は、影響を受けるシステム上で任意のコードを実行し、機密情報を盗み出したり、システムを完全に制御したりする可能性があります。

Digital forensics investigators and security analysts who utilize The Sleuth Kit for analyzing filesystem images are at risk. Specifically, those using older, unpatched versions of the tool in automated workflows or environments with limited access controls are particularly vulnerable. Shared hosting environments where multiple users have access to filesystem images are also at increased risk.

• linux / server:

journalctl -g "tsk_recover" -u the-sleuth-kit | grep -i "path traversal"

• linux / server:

lsof | grep /path/to/recovery/directory/../

• linux / server:

find / -name '*..*' -print 2>/dev/null

1. 2026-04-08Disclosure

   disclosure

1. 予約済み2026-04-08
2. 公開日2026-04-08
3. 更新日2026-04-09
4. EPSS 更新日2026-04-16

この脆弱性への対応策として、まずThe Sleuth Kitをバージョン4.15.0以降にアップグレードすることを推奨します。アップグレードが困難な場合は、入力ファイルの検証を強化し、ファイル名やディレクトリパスにパストラバーサルシーケンスが含まれていないか確認するカスタムスクリプトを実装することを検討してください。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、悪意のあるファイル名やディレクトリパスを含むリクエストをブロックすることも有効です。ファイルシステムイメージの整合性を定期的にチェックし、不正なファイルが書き込まれていないか監視することも重要です。アップグレード後、tsk_recoverコマンドを使用してテストファイルを作成し、意図したディレクトリにのみファイルが書き込まれていることを確認してください。