オープンソースツール「node-ip」の軽度な脆弱性が「緊急対応を要する重大な脆弱性」として報告され連絡が殺到し開発者がリポジトリを一時アーカイブ

Node.js向けに開発されているIPアドレス管理パッケージ「node-ip」のGitHubリポジトリが一時的にアーカイブ状態になりました。node-ipの開発者であるFedor Indutny氏は、アーカイブの理由について「誇張された脆弱(ぜいじゃく)性報告によって問い合わせが多発したため」と説明しています。

Dev rejects CVE severity, makes his GitHub repo read-only
https://www.bleepingcomputer.com/news/security/dev-rejects-cve-severity-makes-his-github-repo-read-only/

node-ipはNode.js向けのIPアドレス管理パッケージです。node-ipのパッケージ情報を確認すると、1週間に1700万回以上ダウンロードされる人気パッケージであることが分かります。

そんなnode-ipについて、2024年2月9日に「プライベートIPアドレスをパブリックなIPアドレスとして扱うことがある」という脆弱性が存在することが報告されました。報告では、当該脆弱性を悪用するとSSRF攻撃が可能になると説明されており、米国国立標準技術研究所(NIST)が運営する脆弱性データベースの「National Vulunerability Database(NVD)」にはスコア9.8のCritical(緊急)な脆弱性として登録されています。なお、CVEは「CVE-2023-42282」です。

当該脆弱性はNVDに登録された後にGitHubの脆弱性情報まとめページ「GitHub Advisory Database」にも掲載されました。

脆弱性が報告された後、Indutny氏は2024年2月19日に問題を修正しました。しかし、脆弱性の修正後もnpmの脆弱性レポートツール「npm-audit」を実行したユーザーから「node-ipに脆弱性がある」という報告が大量に届き続けたとのこと。このため、Indutny氏は2024年6月26日にnode-ipのGitHubリポジトリをアーカイブしました。

Indutny氏は脆弱性の存在自体は認めつつ、「報告では『脆弱性を悪用することでSSRF攻撃が可能となる』とされているが、そのようなセキュリティリスクがあるとは考えられない」と主張し、アーカイブと同日に脆弱性のリスクの見直しを求めました。

その結果、GitHub Advisory Database上では脆弱性レベルがLow(低)に引き下げられました。また、Indutny氏は「プライベート脆弱性レポートを構成することで、脆弱性情報が広く公開される前にプライベートな通知を受けることができる」というアドバイスも得ました。

Indutny氏はGitHub上でのセキュリティリスクの修正を受けて、node-ipのアーカイブを解除しました。ただし、NVD上には緊急のリスクを伴う脆弱性として残り続けています。

海外メディアのBleepingComputerはIndutny氏が巻き込まれた事例を踏まえて、「脆弱性の報告の多くは責任感のあるセキュリティ研究者によって行われるが、中には『重大な脆弱性を見つけた』という経歴を作るために大げさに報告する研究者も存在する」と指摘しています。

なお、過去にはデータ転送ツールのcURLでも「リスクの小さい脆弱性なのに、重大な脆弱性として報告される」という事象が発生して開発者が苦言を呈しています。

脆弱性にIDを割り振って管理する「CVE」のシステムには欠陥があるという指摘 - GIGAZINE