LLVMセキュリティグループ透明性レポート

このページには、LLVMセキュリティグループの年次透明性レポートが掲載されています。

2021

LLVMセキュリティグループは、2020年7月10日に、グループの目的とプロセスを記述した最初のコミットによって設立されました。グループのプロセスの多くは、グループが適切に運営できるほど明確に定義されていませんでした。2021年には、グループが合理的にうまく機能できるよう、主要なプロセスが十分に定義されました。

• セキュリティ問題の報告方法について詳細を定義しました。 2021年5月20日のこのコミットを参照してください。

• 新しいグループメンバーの指名プロセスを改善しました。 2021年7月30日のこのコミットを参照してください。

• 年次透明性レポートの作成を開始しました（ここで2021年のレポートを読んでいます）。

2021年には、LLVMセキュリティグループから2人が脱退し、4人が参加しました。

2021年には、セキュリティグループは2021年12月31日までに公開された13件の問題レポートを受け取りました。セキュリティグループは、これらのレポートのうち2件をセキュリティ問題と判断しました。

• https://bugs.chromium.org/p/llvm/issues/detail?id=5

• https://bugs.chromium.org/p/llvm/issues/detail?id=11

どちらの問題も、ソースコードの変更によって対処されました。#5はclangd/vscode-clangdで、#11はllvm-projectで修正されました。いずれの場合も、LLVMの専用リリースは行われませんでした。

この最初の年次透明性レポートの公開により、セキュリティグループは約束どおりに活動するために必要なすべてのプロセスを実装したと考えています。グループのプロセスはさらに改善することができ、2022年にはさらなる改善が実装されることを期待しています。潜在的な改善の多くは、LLVMセキュリティグループの毎月の公開電話会議で議論されることになります。

2022

このセクションでは、グループが2022年に受け取った問題、またはそれ以前に受け取ったが2022年に開示された問題について報告します。

2022年には、llvmセキュリティグループは、この透明性レポートの執筆時点で開示されている15件の問題を受け取りました。

これらのうち5件がセキュリティ問題と判断されました。

• https://bugs.chromium.org/p/llvm/issues/detail?id=17 は、フレームポインタとリターンアドレスが上書きされる可能性のあるLLVMの誤コンパイルを報告しています。これは修正されました。

• https://bugs.chromium.org/p/llvm/issues/detail?id=19 は、libc++の`std::filesystem::remove_all`の脆弱性を報告しています。これは修正されました。

• https://bugs.chromium.org/p/llvm/issues/detail?id=23 は、投機的ロードハードニング（SLH）では軽減されない新しいSpectreガジェットのバリアントを報告しています。このバリアントも軽減するためにSLHの拡張は実装されていません。

• https://bugs.chromium.org/p/llvm/issues/detail?id=30 は、（C++）例外処理パスでのメモリ安全保護の欠如を報告しています。多くの修正が実装されました。

• https://bugs.chromium.org/p/llvm/issues/detail?id=33 は、RETBLEEDの脆弱性を報告しています。その結果、clangに新しいセキュリティ強化機能`-mfunction-return=thunk-extern`が追加されました。 https://reviews.llvm.org/D129572を参照してください。

上記のいずれの問題についても、LLVMの専用リリースは行われませんでした。

2023

このセクションでは、グループが2023年に受け取った問題、またはそれ以前に受け取ったが2023年に開示された問題について報告します。

これらのうち9件がセキュリティ問題と判断されました

https://bugs.chromium.org/p/llvm/issues/detail?id=36 は、https://llvm.dokyumento.jp/.git に.gitフォルダが存在することを報告しています。

https://bugs.chromium.org/p/llvm/issues/detail?id=66 は、DockerHubイメージにGitHubパーソナルアクセストークンが存在することを報告しています。

https://bugs.chromium.org/p/llvm/issues/detail?id=42 は、Armv8.1-m BTI保護の潜在的なギャップについて報告しています。これは、大きなswitch文とデフォルトケースの__builtin_unreachable()の組み合わせが関係しています。

https://bugs.chromium.org/p/llvm/issues/detail?id=43 は、CVEが報告されている古いバージョンのxml2jsへの依存関係について報告しています。

https://bugs.chromium.org/p/llvm/issues/detail?id=45 は、脆弱性が報告されている多くの依存関係について報告しています。

https://bugs.chromium.org/p/llvm/issues/detail?id=46 は、問題43に関連しています。

https://bugs.chromium.org/p/llvm/issues/detail?id=48 は、-fexperimental-libraryのstd::formatのバッファオーバーフローを報告しています。

https://bugs.chromium.org/p/llvm/issues/detail?id=54 は、libc++バージョン<=6.0でビルドし、新しいlibc++ shared/dylibsに対して実行した場合のbasic_stringムーブ代入のメモリリークを報告しています。

https://bugs.chromium.org/p/llvm/issues/detail?id=56 は、LLVMバックエンドによって導入された、手続き上の見落としにより再発した、範囲外バッファストアを報告しています。

上記のいずれの問題についても、LLVMの専用リリースは行われませんでした。

2023年には、LLVMセキュリティグループに1人が参加しました。