protobuf.jsライブラリにおける重大なRCE脆弱性

広く使用されるProtocol Buffersライブラリの重大な脆弱性

npmで週間約5,000万ダウンロードを誇るGoogleのProtocol BuffersのJavaScript実装であるprotobuf.jsにおいて、重大なリモートコード実行脆弱性の概念実証（PoC）コードが公開されました。

脆弱性の技術的詳細

この脆弱性（追跡番号GHSA-xq3m-2v4x-88gg）は、安全でない動的コード生成によって引き起こされます。このライブラリは文字列を連結しFunction()コンストラクタで実行することでprotobufスキーマからJavaScript関数を構築しますが、メッセージ名などのスキーマ由来の識別子を検証しません。

これにより、攻撃者は生成された関数に任意のコードを注入する悪意のあるスキーマを提供でき、アプリケーションがそのスキーマを使用してメッセージを処理する際にコードが実行されます。

影響範囲と影響を受けるバージョン

• protobuf.jsバージョン8.0.0/7.5.4以前に影響
• 攻撃者が影響を与えるスキーマを読み込むサーバーやアプリケーションでRCEを可能に
• 環境変数、認証情報、データベース、内部システムへのアクセス権を付与する可能性
• インフラ内での横展開を可能に
• 信頼できないスキーマをローカルで読み込む開発者マシンにも影響する可能性

修正パッチと推奨事項

修正済みバージョンへのアップグレード：

• 8.xブランチ向け8.0.1（4月4日にnpmでリリース）
• 7.xブランチ向け7.5.5（4月15日にnpmでリリース）

このパッチは英数字以外の文字を取り除くことで型名をサニタイズし、攻撃者が合成関数を閉じるのを防ぎます。Endor Labsは、長期的な解決策としては、攻撃者が到達可能な識別子をFunction経由で完全にラウンドトリップするのを止めるべきだと指摘しています。

Endor Labsからの追加推奨事項：

• 推移的依存関係の監査
• スキーマ読み込みを信頼できない入力として扱う
• 本番環境では事前コンパイル済み/静的スキーマを優先

タイムラインと状況

• 脆弱性はEndor Labs研究者Cristian Staicuにより3月2日に報告
• 修正パッチは3月11日にGitHubでリリース
• npmパッケージは4月に更新
• 現在までに活発な悪用は確認されず
• 悪用は「簡単」とされ、最小限のPoCが利用可能