概要
Traefikは、マイクロサービス環境で広く利用されているオープンソースのHTTPリバースプロキシおよびロードバランサーです。本脆弱性(CVE-2026-32305)は、TraefikがTLSのClientHelloパケットを処理する際のSNI(Server Name Indication)抽出ロジックに起因し、mTLS(相互TLS認証)がバイパスされる可能性があると報告されています。具体的には、ClientHelloパケットが複数のレコードに分割されて送信された場合、TraefikがSNIの抽出に失敗し、空のSNIを返すことがあります。これにより、TCPルーターがデフォルトのTLS設定にフォールバックし、通常はクライアント証明書を要求しない設定が適用されてしまう可能性があります。
影響範囲
本脆弱性の影響を受けるTraefikのバージョンは以下の通りです。
- Traefik v2: 2.11.40 およびそれ以前のバージョン
- Traefik v3: 3.0.0-beta1 から 3.6.11 までのバージョン
- Traefik v3 (Early Access): 3.7.0-ea.1
以下のバージョンで本脆弱性は修正されています。
- Traefik v2: 2.11.41
- Traefik v3: 3.6.11
- Traefik v3 (Early Access): 3.7.0-ea.2
想定される影響
攻撃者は、この脆弱性を悪用することで、本来mTLS認証によって保護されているべきサービスへのアクセスを、クライアント証明書なしで実行できる可能性があります。これにより、機密情報への不正アクセスや、システムへの不正操作など、様々なセキュリティ上のリスクが生じる恐れがあります。
攻撃成立条件・悪用状況
本脆弱性は、TLS ClientHelloパケットが意図的に断片化されて送信された場合に成立すると報告されています。TraefikのSNI抽出ロジックがこの断片化されたパケットを適切に処理できないことが原因です。現在のところ、具体的な悪用状況に関する詳細な情報は公開されていませんが、技術的な観点から攻撃の成立は十分に考えられます。
推奨対策
優先度:高
最も推奨される対策は、速やかに修正済みのバージョンへアップデートすることです。
- Traefik v2をご利用の場合は、バージョン 2.11.41 へアップデートしてください。
- Traefik v3をご利用の場合は、バージョン 3.6.11 または 3.7.0-ea.2 へアップデートしてください。
一時的な緩和策
本脆弱性に対する一時的な緩和策は、CVE情報からは明確に示されていません。根本的な解決には、修正済みバージョンへのアップデートが不可欠です。
確認方法
ご自身のTraefik環境が本脆弱性の影響を受けるかどうかは、現在稼働しているTraefikのバージョンを確認することで判断できます。上記の「影響範囲」に記載されているバージョンに該当する場合は、速やかな対策が必要です。