目次
記事の要約
- Snowflake Connector for C/C++の脆弱性CVE-2025-46330が公開された
- バージョン0.5.0から2.1.9までのlibsnowflakeclientに影響
- 不正なリクエストを再試行し、アプリケーションがハングアップする可能性があった
Snowflake Connector for C/C++の脆弱性情報公開
GitHubは2025年4月29日、Snowflake Connector for C/C++(libsnowflakeclient)の脆弱性に関するセキュリティアドバイザリを公開した。この脆弱性CVE-2025-46330は、不正なリクエストの再試行処理に問題があり、アプリケーションがハングアップする可能性があるというものだ。
影響を受けるのはバージョン0.5.0から2.1.9までのlibsnowflakeclientである。不正なHTTPリクエスト(ステータスコード400)を再試行可能なものとして誤って処理してしまうため、SF_CON_MAX_RETRY回のリクエスト送信までアプリケーションがハングアップする状態が継続する可能性があったのだ。
この問題はバージョン2.2.0で修正されている。Snowflake Connector for C/C++を利用している開発者は、速やかにバージョン2.2.0以降へのアップデートを行う必要がある。
本脆弱性は、CWE-573(呼び出し元による仕様の不適切な追従)に分類され、CVSSスコアは3.3(低)と評価されている。
影響を受けるバージョンと修正情報
| 項目 | 詳細 |
|---|---|
| 脆弱性識別子 | CVE-2025-46330 |
| 影響を受ける製品 | libsnowflakeclient |
| 影響を受けるバージョン | >= 0.5.0, < 2.2.0 |
| 修正バージョン | 2.2.0 |
| 公開日 | 2025-04-29 |
| CVSSスコア | 3.3 (LOW) |
| CWE | CWE-573 |
libsnowflakeclientについて
libsnowflakeclientは、Snowflakeデータウェアハウスへのアクセスを可能にするC/C++用のコネクタライブラリである。このライブラリを使用することで、C/C++アプリケーションからSnowflakeへのデータ読み書きやクエリ実行などが容易に行える。
- Snowflakeへの接続
- データの読み書き
- クエリの実行
本件の脆弱性修正により、より安全にSnowflakeを利用できるようになった。
CVE-2025-46330に関する考察
今回の脆弱性は、低リスクと評価されているものの、不正なリクエストに対する処理の不備が原因でアプリケーションがハングアップする可能性があった点は深刻だ。影響を受けるバージョンを使用しているシステムは、速やかなアップデートが必須である。放置すると、サービス停止やデータ漏洩といった二次的な被害につながる可能性もあるだろう。
今後、同様の脆弱性が他のSnowflakeコネクタや関連ライブラリにも存在する可能性がある。Snowflake社は、継続的なセキュリティ監査と脆弱性対応に力を入れるべきだ。また、開発者向けには、セキュリティに関するベストプラクティスや、脆弱性発見時の対応手順などを明確に示すことが重要となるだろう。
さらに、自動化されたセキュリティテストツールの導入や、定期的なセキュリティアップデートの提供など、より強固なセキュリティ体制の構築が求められる。これにより、ユーザーは安心してSnowflakeサービスを利用できるようになるだろう。
参考サイト/関連サイト
- CVE.「CVE Record: CVE-2025-46330」.https://www.cve.org/CVERecord?id=CVE-2025-46330, (参照 2025-05-15).
