JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月1日、「JVNVU#96606632: Rプログラミング言語の実装において、安全でないデータのデシリアライゼーションが発生する問題(CVE-2024-27322)」において、統計解析向けプログラミング言語「R」のシリアル化されたデータのデシリアライズ処理に脆弱性が発見されたとして、注意を喚起した。この脆弱性を悪用されると、攻撃者が作成したRDS(R Data Serialization)形式のファイルやRパッケージによって任意のコードを実行される可能性がある。
-
JVNVU#96606632: Rプログラミング言語の実装において、安全でないデータのデシリアライゼーションが発生する問題(CVE-2024-27322)
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-27322 - デシリアライゼーションの脆弱性。悪意を持って作成されたRDS形式のファイルやRパッケージを操作すると、任意のコードを実行される可能性がある
脆弱性の影響を受ける製品
脆弱性の影響を受ける製品およびバージョンは次のとおり。
- R 1.4.0から4.4.0より前のバージョン
脆弱性を修正した製品
脆弱性を修正した製品およびバージョンは次のとおり。
- R 4.4.0
対策
JPCERTコーディネーションセンターは脆弱性の回避策として、「.rds」、「.rdx」、「.rdb」ファイルをコンテナまたはサンドボックス環境で使用するなど、信頼できないデータを含むファイルを読み込ませないように推奨している。
この脆弱性の深刻度は重要(Important)と評価されており注意が必要。プログラミング言語「R」を使用している開発者には、言語開発者の提供する情報に基づいてアップデートを適用することが推奨されている。
