プログラミング言語「R」に脆弱性、任意のコード実行の可能性

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月1日、「JVNVU#96606632: Rプログラミング言語の実装において、安全でないデータのデシリアライゼーションが発生する問題（CVE-2024-27322）」において、統計解析向けプログラミング言語「R」のシリアル化されたデータのデシリアライズ処理に脆弱性が発見されたとして、注意を喚起した。この脆弱性を悪用されると、攻撃者が作成したRDS(R Data Serialization)形式のファイルやRパッケージによって任意のコードを実行される可能性がある。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

HiddenLayer Research | R-bitrary Code Execution

脆弱性の情報(CVE)は次のとおり。

CVE-2024-27322 - デシリアライゼーションの脆弱性。悪意を持って作成されたRDS形式のファイルやRパッケージを操作すると、任意のコードを実行される可能性がある

○脆弱性の影響を受ける製品

脆弱性の影響を受ける製品およびバージョンは次のとおり。

R 1.4.0から4.4.0より前のバージョン

○脆弱性を修正した製品

脆弱性を修正した製品およびバージョンは次のとおり。

R 4.4.0

○対策

JPCERTコーディネーションセンターは脆弱性の回避策として、「.rds」、「.rdx」、「.rdb」ファイルをコンテナまたはサンドボックス環境で使用するなど、信頼できないデータを含むファイルを読み込ませないように推奨している。

この脆弱性の深刻度は重要(Important)と評価されており注意が必要。プログラミング言語「R」を使用している開発者には、言語開発者の提供する情報に基づいてアップデートを適用することが推奨されている。
（後藤大地）