プラットフォーム
linux
コンポーネント
libfido2
修正版
1.17.0
libfido2のバージョン0.0.0から5.9.1において、DLL検索パスに脆弱性が存在します。この脆弱性を悪用されると、攻撃者はシステム上で予期しないDLLをロードさせ、潜在的にシステムを制御する可能性があります。Yubico libfido2 1.17.0以降、python-fido2 2.2.0以降、yubikey-manager 5.9.1以降にアップデートすることで、この脆弱性は修正されています。
CVE-2026-40947 は、libfido2、python-fido2、および yubikey-manager ライブラリのバージョン 1.17.0、2.2.0、および 5.9.1 以前のバージョンに影響を与えます。この問題は、意図しない DLL 検索パスに起因します。これにより、これらのライブラリが使用される環境において、攻撃者が共有ライブラリ (DLL) の読み込みを操作できる可能性があります。攻撃者は、正当なライブラリの代わりに悪意のある DLL をロードし、影響を受けるプロセスの権限で任意のコードを実行する可能性があります。この脆弱性の重大度は、展開コンテキストとこれらのライブラリを使用するプロセスの権限に大きく依存します。 正常な悪用には、攻撃者がランタイム環境を制御し、DLL 検索パスに影響を与えることができる必要があります。
CVE-2026-40947 の悪用には、攻撃者が DLL 検索パスを制御または影響を与えることができる環境が必要です。これは、影響を受けるライブラリが昇格された権限を持つアプリケーションで使用されているシステム、または信頼できない環境で実行されているシステムでより可能性が高くなります。攻撃者は、脆弱なライブラリを使用するアプリケーションの実行前に、DLL 検索パス上にある場所に悪意のある DLL を配置する可能性があります。これにより、悪意のある DLL が正当なライブラリの代わりに読み込まれ、攻撃者が任意のコードを実行できるようになります。悪用の難易度は、システム構成と実装されているセキュリティ対策によって異なります。
Systems utilizing older versions of libfido2, python-fido2, or yubikey-manager are at risk. This includes environments where these libraries are used in automated build processes or where directory permissions are not strictly enforced. Shared hosting environments where multiple users have write access to common directories are particularly vulnerable.
• linux / server:
find /usr/lib/x86_64-linux-gnu/ -name '*.so' -type f -print0 | xargs -0 ls -l | grep libfido2• linux / server:
journalctl -f | grep "libfido2"• linux / server:
lsof -i :22 | grep libfido2disclosure
エクスプロイト状況
EPSS
0.01% (0% パーセンタイル)
CISA SSVC
CVE-2026-40947 の主な軽減策は、影響を受けるライブラリを修正されたバージョンに更新することです。libfido2 1.17.0 以降、python-fido2 2.2.0 以降、および yubikey-manager 5.9.1 以降です。これらの更新により、意図しない DLL 検索パスが削除され、悪意のあるライブラリの読み込みが防止されます。さらに、共有ライブラリの取り扱いに関する標準的なセキュリティプラクティスを適用することをお勧めします。たとえば、DLL を含むディレクトリへのアクセスを制限するためにアクセス制御リスト (ACL) を使用します。システムログを監視して、ライブラリ読み込みに関連する異常なアクティビティを検出および対応することも役立ちます。これらのセキュリティ対策を実装することで、この脆弱性に関連するリスクを大幅に軽減できます。
Actualice la biblioteca libfido2 a la versión 1.17.0 o superior para mitigar el riesgo de vulnerabilidad en la ruta de búsqueda de DLL. Verifique las instrucciones de actualización específicas proporcionadas por Yubico en su aviso de seguridad (https://www.yubico.com/support/security-advisories/ysa-2026-01/). Asegúrese de actualizar también las dependencias relacionadas, como python-fido2 y yubikey-manager a sus versiones corregidas (2.2.0 y 5.9.1 respectivamente).
脆弱性分析と重要アラートをメールでお届けします。
DLL (Dynamic Link Library) は、複数のプログラムが同時に使用できるコードライブラリです。他のアプリケーションから呼び出すことができる関数とリソースが含まれています。
DLL 検索パスは、アプリケーションが DLL をロードする必要があるときにオペレーティングシステムが参照するディレクトリのリストです。同じ名前の DLL が複数のディレクトリに存在する場合、オペレーティングシステムはパス内で最初に見つけたものをロードします。
コマンドラインで libfido2-cli --version コマンドを実行することで、libfido2 のバージョンを確認できます。
すぐに更新できない場合は、DLL を含むディレクトリへのアクセスを制限したり、システムログを監視したりするなど、軽減策を実装することを検討してください。
必ずしもそうではありません。この脆弱性は、脆弱なライブラリを直接使用するか、それらを使用するアプリケーションを介して使用するユーザーにのみ影響します。
CVSS ベクトル