Microsoftが、PowerShell 7を利用しているシステム管理者に対し、できるだけ早く最新バージョンにアップデートするよう警告している。10月14日(現地時間)、PowerShellのGitHubリポジトリに追加された次のIssueによると、バージョン7.1.5よりも前のPowerShell 7には、Windows以外のOSにおいて資格情報をプレーンテキストで送信する可能性のある脆弱性が含まれているという。

  • Microsoft Security Advisory CVE-2021-41355|.NET Core Information Disclosure Vulnerability

    Microsoft Security Advisory CVE-2021-41355 | .NET Core Information Disclosure Vulnerability

この脆弱性は、.NETにおいて発見されたCVE-2021-41355の脆弱性に起因するものだという。CVE-2021-41355では、LinuxおよびmacOSにおいて、System.DirectoryServices.Protocols.LdapConnectionがプレーンテキストで資格情報を送信するおそれがあるとされている。System.DirectoryServices.Protocolsの5.0.0以前のバージョンがCVE-2021-41355の影響を受ける。

PowerShell 7はSystem.DirectoryServices.Protocolsに依存しているため、このCVE-2021-41355の影響を回避するには、対処版のSystem.DirectoryServices.Protocolsを搭載したPowerShell 7.1.5にアップデートする必要がある。

現在使用しているPowerShellのバージョンは次のコマンドで確認できる。

> pwsh -v

Linuxなどの影響を受けるバージョンのPowerShell 7を利用しているユーザおよびシステム管理者は、できるだけ早く最新版にアップデートすることが推奨される。