JVNDB-2025-026199

tox-devのfilelockにおける複数の脆弱性

filelockはPython向けのプラットフォームに依存しないファイルロック機能を提供します。3.20.1より前のバージョンでは、TOCTOU（Time-of-Check-Time-of-Use）競合状態により、ローカルの攻撃者がシンボリックリンク攻撃を通じて任意のユーザーファイルを破損または切り詰める可能性があります。この脆弱性はUnixおよびWindowsのロックファイル作成時に発生し、filelockがファイルの存在を確認してからO_TRUNCフラグで開くまでの間に起こります。攻撃者はチェックとオープンの間の時間差にターゲットファイルを指すシンボリックリンクを作成し、それによりos.open()がシンボリックリンクをたどって対象ファイルを切り詰めてしまいます。Unix、Linux、macOS、およびWindowsシステム上のfilelockのすべてのユーザーに影響があります。この脆弱性は依存ライブラリにも波及します。攻撃にはローカルファイルシステムへのアクセス権とシンボリックリンク作成権限（Unixでは標準ユーザー権限、Windows 10以降では開発者モード）が必要です。ロックファイルパスが予測可能な場合、1回から3回の試行で攻撃が成功します。この問題はバージョン3.20.1で修正されました。即時のアップグレードが困難な場合は、UnixFileLockやWindowsFileLockの代わりにSoftFileLockを使用することを推奨します（ただしロックの動作が異なり、すべての用途に適さない場合があります）。また、ロックファイルディレクトリに制限付きの権限（chmod 0700）を設定し、信頼されていないユーザーによるシンボリックリンク作成を防止し、ロックファイルディレクトリを監視して疑わしいシンボリックリンクを検出してから信頼されたアプリケーションを実行する対策も有効です。これらの回避策は部分的な軽減にすぎず、競合状態の悪用は依然として可能です。したがって、3.20.1へのアップグレードを強く推奨します。

tox-dev

• filelock 3.20.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : TOCTOU race condition allows symlink attacks during lock file creation  Advisory  tox-dev/filelock  GitHub

1. 競合状態(CWE-362) [その他]
2. Time-of-check Time-of-use (TOCTOU) 競合状態(CWE-367) [その他]
3. Time-of-check Time-of-use (TOCTOU) 競合状態(CWE-367) [NVD評価]
4. リンク解釈の問題(CWE-59) [その他]

1. CVE-2025-68146

1. National Vulnerability Database (NVD) : CVE-2025-68146
2. 関連文書 : CVE-2025-68146: Fix TOCTOU symlink vulnerability in lock file creation by gaborbernat  Pull Request #461  tox-dev/filelock  GitHub
3. 関連文書 : Release 3.20.1  tox-dev/filelock  GitHub
4. 関連文書 : Fix TOCTOU symlink vulnerability in lock file creation (#461)  tox-dev/filelock@4724d7f  GitHub

• [2026年03月09日]
    掲載