🔥 この記事の詳細
2026-05-19 更新
D
把握のみ

GNU sedのバージョン4.1eから4.10未満において、TOCTOU(Time-of-check Time-of-use)の脆弱性

脆弱性🌐 英語ソース
🔢 CVECVE-2026-5958
📅 2026-05-19📰 cert_pl
📌 一言でいうと
GNU sedのバージョン4.1eから4.10未満において、TOCTOU(Time-of-check Time-of-use)の脆弱性が発見されました。-iオプションと--follow-symlinksオプションを併用して実行した際、シンボリックリンクの解決とファイル読み込みの間に時間差があるため、攻撃者がリンク先をすり替えることで意図しないファイルの読み書きが可能です。CERT Polskaがこの脆弱性の公開を調整しました。
🔍該当判定
  • LinuxサーバーやMacで、GNU sed(バージョン4.1〜4.9)をインストールして利用している
  • sedコマンドの実行時に、オプション「-i」と「--follow-symlinks」を組み合わせて使用している
  • 不特定多数のユーザーがファイルを書き換えられる共有サーバー環境で、sedによる自動処理(シェルスクリプト等)を運用している
上記いずれにも該当しない → 静観でOK
該当時の対応
GNU sedを最新バージョン(4.10以降)にアップデートすることを推奨します。また、信頼できないユーザーが書き込み権限を持つディレクトリでシンボリックリンクを操作してsedを実行させないよう注意してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GNU sed CVE-2026-5958 対応について

お疲れさまです。GNU sedの脆弱性に関する情報共有です。

■ 概要
GNU sedにおいて、-i および --follow-symlinks オプション使用時にTOCTOU (Race Condition) が発生する脆弱性 (CVE-2026-5958) が報告されました。攻撃者がシンボリックリンクを操作することで、意図しないファイルの読み込みおよび書き換えが行われる可能性があります。

■ 影響範囲
- 対象製品: GNU sed
- 対象バージョン: 4.1e 以上 4.10 未満

■ 対応手順
1. システム内の GNU sed のバージョンを確認してください。
2. 脆弱なバージョンを使用している場合は、最新バージョン (4.10以降) へのアップデートを検討してください。

■ 参考情報
- CERT Polska アドバイザリ

対応優先度: 中
対応期限: 次回メンテナンス時まで
Subject: [Security Advisory] GNU sed CVE-2026-5958

Dear IT Administration team,

We are sharing information regarding a vulnerability in GNU sed.

■ Overview
A TOCTOU (Time-of-check Time-of-use) race condition vulnerability (CVE-2026-5958) has been discovered in GNU sed. When the tool is invoked with the -i and --follow-symlinks options, an attacker could potentially replace a symlink between the time it is resolved and the time the file is read, leading to unauthorized file access or modification.

■ Scope
- Product: GNU sed
- Affected Versions: 4.1e up to (but not including) 4.10

■ Mitigation Steps
1. Verify the installed version of GNU sed across your environment.
2. Update GNU sed to version 4.10 or later to resolve this issue.

■ Reference
- CERT Polska Advisory

Priority: Medium
Deadline: Next scheduled maintenance window
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-19 のまとめ🔍 記事を検索