記事の要約
- Snowflake Connector for C/C++の脆弱性CVE-2025-46329が公開された
- バージョン0.5.0から2.1.9までのクライアントサイド暗号化キーがログに記録される脆弱性
- 2.2.0で修正済み
Snowflake Connector for C/C++の脆弱性情報公開
GitHubは2025年4月29日、Snowflake Connector for C/C++(libsnowflakeclient)におけるセキュリティ上の脆弱性CVE-2025-46329に関する情報を公開した。この脆弱性は、ログレベルがDEBUGに設定されている場合に、クライアントサイドの暗号化マスターキーがローカルログに記録されるというものだ。
このマスターキー自体は、追加のアクセス権限がない限り機密データへのアクセスを許可するものではなく、Snowflakeのサーバーサイドにはログとして記録されない。影響を受けるのはバージョン0.5.0から2.1.9までのlibsnowflakeclientである。
Snowflakeはバージョン2.2.0においてこの脆弱性を修正している。ユーザーは速やかにバージョン2.2.0以降にアップデートすることを推奨する。
脆弱性詳細
| 項目 | 詳細 |
|---|---|
| CVE ID | CVE-2025-46329 |
| 公開日 | 2025-04-29 |
| 影響を受けるバージョン | >= 0.5.0, < 2.2.0 |
| 修正済みバージョン | 2.2.0 |
| 脆弱性の種類 | CWE-532: Insertion of Sensitive Information into Log File |
| CVSSスコア | 3.3 (LOW) |
| ベンダ | snowflakedb |
| 製品 | libsnowflakeclient |
クライアントサイド暗号化キーについて
この脆弱性で問題となるのは、クライアントサイド暗号化マスターキーがローカルログに記録される点だ。このキーは、追加のアクセス権限がない限り、データへのアクセスを許可しない。
- キー単体ではデータにアクセスできない
- 追加の認証が必要
- サーバーサイドにはログされない
しかし、ローカルログに記録されることで、攻撃者がローカルマシンにアクセスした場合、このキーを取得し、他の脆弱性と組み合わせることでデータへのアクセスを試みる可能性がある。
CVE-2025-46329に関する考察
libsnowflakeclientの脆弱性CVE-2025-46329は、ログレベルの設定ミスによって発生するもので、深刻度は低いと評価されている。しかし、攻撃者がローカルマシンにアクセスできる状況下では、他の脆弱性と組み合わせることで、より深刻な影響を与える可能性がある。
今後、同様の脆弱性が他のSnowflakeコネクタや関連製品でも発見される可能性がある。そのため、Snowflakeは継続的なセキュリティ監査と迅速なパッチ適用を行う必要があるだろう。また、ユーザー側も定期的なソフトウェアアップデートと適切なログレベルの設定を行うことが重要だ。
さらに、開発者は、機密情報をログに記録しないためのコーディング規約を遵守し、セキュリティテストを徹底することで、このような脆弱性の発生を予防する必要がある。セキュリティ意識の向上と対策の強化が求められる。
参考サイト/関連サイト
- CVE.「CVE Record: CVE-2025-46329」.https://www.cve.org/CVERecord?id=CVE-2025-46329, (参照 2025-05-15).
