JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月1日、「JVNVU#96606632: Rプログラミング言語の実装において、安全でないデータのデシリアライゼーションが発生する問題(CVE-2024-27322)」において、統計解析向けプログラミング言語「R」のシリアル化されたデータのデシリアライズ処理に脆弱性が発見されたとして、注意を喚起した。この脆弱性を悪用されると、攻撃者が作成したRDS(R Data Serialization)形式のファイルやRパッケージによって任意のコードを実行される可能性がある。

  • JVNVU#96606632: Rプログラミング言語の実装において、安全でないデータのデシリアライゼーションが発生する問題(CVE-2024-27322)

    JVNVU#96606632: Rプログラミング言語の実装において、安全でないデータのデシリアライゼーションが発生する問題(CVE-2024-27322)

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-27322 - デシリアライゼーションの脆弱性。悪意を持って作成されたRDS形式のファイルやRパッケージを操作すると、任意のコードを実行される可能性がある

脆弱性の影響を受ける製品

脆弱性の影響を受ける製品およびバージョンは次のとおり。

  • R 1.4.0から4.4.0より前のバージョン

脆弱性を修正した製品

脆弱性を修正した製品およびバージョンは次のとおり。

  • R 4.4.0

対策

JPCERTコーディネーションセンターは脆弱性の回避策として、「.rds」、「.rdx」、「.rdb」ファイルをコンテナまたはサンドボックス環境で使用するなど、信頼できないデータを含むファイルを読み込ませないように推奨している。

この脆弱性の深刻度は重要(Important)と評価されており注意が必要。プログラミング言語「R」を使用している開発者には、言語開発者の提供する情報に基づいてアップデートを適用することが推奨されている。