目次
記事の要約
- Snowflake Golangドライバの脆弱性CVE-2025-46327が公開された
- gosnowflake 1.7.0~1.13.2にTOCTOU競合状態の脆弱性あり
- 1.13.3でパッチ適用済み
Snowflake Golangドライバの脆弱性情報公開
GitHubは2025年4月28日、Snowflake Golangドライバ(gosnowflake)における脆弱性CVE-2025-46327に関する情報を公開した。この脆弱性は、Easy Logging機能を使用するLinuxとmacOS環境で発生する可能性がある。
gosnowflake バージョン1.7.0から1.13.2までのバージョンにおいて、ログ設定ファイルへのアクセスチェックにTime-of-Check to Time-of-Use (TOCTOU)競合状態が存在するのだ。ローカル攻撃者は、設定ファイルまたはその親ディレクトリへの書き込み権限を持つ場合、ログレベルや出力先を改ざんできる可能性がある。
この脆弱性は、バージョン1.13.3で修正されている。ユーザーは速やかに最新バージョンへのアップデートを行うべきである。この脆弱性を利用した攻撃は、ローカル攻撃者によるログ設定の改ざんに限定される。
脆弱性詳細
| 項目 | 詳細 |
|---|---|
| 脆弱性名 | CVE-2025-46327 |
| 公開日 | 2025-04-28 |
| 更新日 | 2025-04-28 |
| 影響を受けるバージョン | >= 1.7.0, < 1.13.3 |
| 修正済みバージョン | 1.13.3 |
| 脆弱性の種類 | TOCTOU競合状態 |
| CVSSスコア | 3.3 (LOW) |
| ベンダ | snowflakedb |
| 製品 | gosnowflake |
TOCTOU競合状態について
TOCTOU競合状態とは、Time-of-Check to Time-of-Useの略で、アクセスチェックと実際のアクセス実行の間に時間的なずれが生じることで発生する脆弱性である。このずれを利用して、攻撃者は不正なアクセスを行う可能性がある。
- アクセス権限の確認とファイル操作の間にタイムラグが生じる
- 攻撃者はそのタイムラグを利用してファイルの改ざんを行う
- 結果として、不正なアクセスや権限昇格が可能になる
この脆弱性は、ファイルシステムの特性やシステムの処理速度に依存するため、発生条件を特定しにくい点が特徴だ。
gosnowflake脆弱性に関する考察
gosnowflakeの脆弱性修正は、迅速な対応が求められる重要なセキュリティアップデートだ。この脆弱性は、ローカル攻撃者によるログ設定の改ざんに限定されるものの、ログレベルや出力先を制御されることで、機密情報の漏洩やシステムの不正操作につながる可能性がある。
今後、同様のTOCTOU競合状態による脆弱性が他のソフトウェアでも発見される可能性がある。開発者は、アクセス制御に関するコードを慎重にレビューし、競合状態が発生しないように注意する必要があるだろう。定期的なセキュリティアップデートと脆弱性スキャンの実施も不可欠だ。
さらに、ログ設定ファイルのアクセス制御を強化するなどの対策も検討すべきである。例えば、ログ設定ファイルへのアクセス権限を最小限に制限したり、設定ファイルの変更を監査する仕組みを導入するなどが考えられる。
参考サイト/関連サイト
- CVE.「CVE Record: CVE-2025-46327」.https://www.cve.org/CVERecord?id=CVE-2025-46327, (参照 2025-05-15).
