プログラミング言語「Rust」の開発チームは、最新バージョンとなる「Rust 1.66.1」を、1月10日(現地時間)に公開した。Rustは、Apache License 2.0とMITライセンスで公開しているオープンソース・ソフトウェア。
「Rust 1.66.1」は、脆弱性解消を図ったアップデートだ。Rustのビルド・システム兼パッケージ・マネージャーである「Cargo」が抱えている脆弱性を修正した。Cargoがサーバーと通信するときはSSH(Secure Shell)を使用するが、通信開始時にサーバーの公開鍵を検証していなかった。
この状態では、Man-In-The-Middle攻撃(中間者攻撃)を受けたときに通信の秘密を守れない。今回の新バージョンでは、通信開始時にサーバーの公開鍵を検証し、以前にこのサーバーと通信したことがあるかを確認する。そして、以前にも通信したことがあると分かったら、そのときにサーバーが使用した公開鍵とこれから通信しようとするサーバーの公開鍵が変わっていないかを確認する。もしも公開鍵が変わっていたら、通信を中断する。
今回問題になった脆弱性は、CVE(共通脆弱性識別子:Common Vulnerabilities and Exposures)の2022-46176として公開済みだ。CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)によるスコアは5.4で、深刻度は「警告(Moderate)」となっている。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です