Microsoftは7月1日(米国時間)、Microsoft Azure Webサイトに投稿された記事「Update PowerShell versions 7.0 and 7.1 to protect against a vulnerability|Azure updates|Microsoft Azure」において、PowerShell 7.0および7.1を利用しているユーザーに対して最新版である7.0.6および7.1.3への早急なアップデートを呼びかけた。
PowerShell 7.0および7.1にはCVE-2021-26701として追跡されているリモートコード実行の脆弱性が存在する。修正版は同3月11日にリリースされているが、こ脆弱性は深刻度が"重要"に分類されており危険性が高いため、改めてアップデートを促した形だ。
CVE-2021-26701に関する詳細は、Microsoft Security Response Centerの次のセキュリティアップデートガイドにまとめられている。
CVE-2021-26701は.NET 5.0および.NET Core 3.1におけるテキストエンコーディングに関する実装方法に起因する脆弱性で、悪用されるとリモートから任意のコードを実行される危険性があるというもの。PowerShellは、バージョン7.0および7.1がこの脆弱性の影響を受ける。大元の.NETにおいては.NET 5.0.4および.NET Core 3.1.407で修正されており、PowerShellもそれに合わせてPowerShell 7.1.3および7.0.6がそれぞれこの修正版の.NETをベースとしてリリースされている。
CVE-2021-26701の影響を軽減する代替策はなく、対策を講じるには最新版にアップデートする必要がある。PowerShell 7.1.3と7.0.6はそれぞれGitHubリポジトリの次のページからダウンロードできる。
- Release v7.1.3 Release of PowerShell · PowerShell/PowerShell
- Release v7.0.6 Release of PowerShell · PowerShell/PowerShell
なお、Windows PowerShell 5.1はこの脆弱性の影響を受けないとのことだ。