curlのドット災難:2つのCVEと終わらない追跡
2025-05-15
curlチームは、URL内のホスト名における末尾のドット(.)を巡って、永続的な問題を抱えてきました。最初は無視していましたが、末尾のドットを必要とするウェブサイトをサポートするために、後にサポートを復活させました。しかし、この変更は、Cookie処理とHSTSメカニズムにそれぞれ影響を与える2つのセキュリティ脆弱性(CVE-2022-27779とCVE-2022-30115)を意図せず導入しました。これらの脆弱性は、末尾のドットの不適切な処理により、ドメインの誤った一致を引き起こしたことが原因です。curl 7.83.1はこれらの問題を解決しますが、作者はこれが長期にわたる闘争の始まりに過ぎないのではないかと疑っています。
開発