【脆弱性情報】Forgejoで発見された「Carrot」問題について解説

Forgejoにおいて「Carrot」と呼ばれる脆弱性が報告されました。現在、該当する環境を利用している場合は、セキュリティリスクを最小限に抑えるため、公式情報に基づいた迅速なアップデートや対策の確認を強く推奨します。

この著者の態度、すごく鼻につくね。何様なの？Forgejoに何か恨みでもあるの？Forgejoの開示プロセスは普通にシンプルで分かりやすいと思うけど。著者が気に食わないっていう太字や大文字の警告だって、ゼロデイ脆弱性が無駄に広まらないよう安全に報告してもらうための工夫でしょ。あと、こんな寸止めみたいな開示の仕方も全然感心しないな。ローカル環境でPythonスクリプトを実行して攻撃？おいおい、物理的なハードウェアとシェルアクセス権があるんだから、そのスクリプトがルート権限で何をやろうが自由だよね。リモートサーバーに対する攻撃をちゃんと見せてよ。

リンクされてたPR（今回のRCEに関連するやつかな？）で、それをクローズしたメンテナがこう言ってた:

使われていないからといって安全だとは限らない。たとえセキュリティ的にデリケートな話題であってもね

Linuxカーネルの開発陣なら納得しないだろうな。AI時代のネットワークソフトウェアに対する考え方としては、あまりにナイーブで危険だよ。

追記：また「投稿が早すぎます」っていうブロックを食らったから、ここでdangusに返信しておくわ。

リモートホストへの攻撃があれば主張を証明できるのは確かだけど、投稿者は単なるCEじゃなくて『RCE』だと明言してる。もし投稿者がIPアドレスを受け取るだけのPythonスクリプトを書いて、バックエンドのシステムファイルをいじってRCEを演出してたとしたら、それこそ盛大な茶番になるね。

あのリンク先のPR、もう少し……『現実的』な誰かがチェックしてくれることを願うよ。

暗号学界隈にはこんな古い逸話がある。

ある暗号学者が、自分で作った暗号を自慢してくる素人にずっと付きまとわれていたんだ。学者がその暗号を破ると、素人はすぐに『修正』してくる。それを何度も繰り返して、学者はついに愛想が尽きた。ある日、素人がやってきて『どうだ？』と聞いたとき、学者はテーブルに伏せた3つの封筒を置いた。『この中にはそれぞれ君の暗号に対する攻撃手法が入っている。一つ選んで読め。あとの2つの攻撃手法を自力で見つけるまで二度と来るな』。それ以来、その素人の姿を見ることはなかったよ。

https://www.schneier.com/crypto-gram/archives/1998/1015.html

https://codeberg.org/forgejo/governance/src/commit/5c07b3801537212ed6be1edfec298d7b004ce92d/SECURITY-POLICY.md

これらのルールに従わない場合、公に批判し、今後あなたやあなたのプロジェクトと協力しない権利を留保します。

（笑）

正直、奇妙な投稿だな。深刻なセキュリティ問題を山ほど見つけたと主張しながら、PRを2つ投げてるだけ。一つは『XSSには繋がらないけど、防御層は厚いに越したことはない』と言って引用符を追加するだけの内容。

もう一つは、より安全でないOAuthメソッドを使っているクライアントを遮断することを提案してるけど、その理由が『そんな（安全でない）メソッドを使いたがるOAuthクライアントなんて思いつかない』からだってさ。

二つ目は良いアイデアかもしれないけど、破壊的な変更を加える前に議論を求めるメンテナの対応も真っ当だよ。

でも肝心なのは、どちらも投稿者が主張するような重大なセキュリティ問題ではないってこと。もっとまともなバグから提示したら？

AIの時代において、こういった『寸止め開示』は、実質的には少し手間を加えただけの『フルディスクロージャー（完全公開）』になりかねない。セキュリティの専門家じゃないけど、提供された文脈とForgejoのコードベース、そして隠されたスクリプトの概要があれば、Codex（AI）を使って脆弱性の連鎖を解析し、スクリプトを再現できる可能性は十分にあると思うよ。

著者は実際にこのRCEを開示したの？それとも、適当なPRを投げて『問題がある』って叫んでるだけ？誠実な対応には見えないし、自分が優位に立っている気分に浸って公の場でスタンドプレーしてるだけに見えるんだけど。