セキュリティ

SECURITY

公開：2025-03-27

【CVE-2025-1632】libarchive 3.7.7以前のバージョンでヌルポインタ参照の脆弱性を発見、ローカル実行による攻撃の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• libarchive 3.7.7までのバージョンで脆弱性を発見
• ヌルポインタ参照による問題が発生する可能性
• 脆弱性の深刻度は中程度でローカル実行が必要

libarchive 3.7.7までのバージョンでヌルポインタ参照の脆弱性

セキュリティ機関VulDBは2025年2月24日、libarchiveの3.7.7以前のバージョンにおいて、ヌルポインタ参照の脆弱性（CVE-2025-1632）を発見したことを公開した。この脆弱性はbsdunzip.cファイルのlist関数に存在しており、ローカルホストで攻撃を実行できる可能性があることが判明している。^[1]

脆弱性の影響範囲は広く、libarchiveの3.7.0から3.7.7までのすべてのバージョンが影響を受けることが確認されている。この問題に関してベンダーへの早期の開示が行われたものの、現時点で対応や返答は得られていない状況が続いているのだ。

この脆弱性の深刻度はCVSS 4.0で中程度（スコア4.8）と評価されており、攻撃の成功には特権レベルが必要とされる。すでに脆弱性の詳細が公開されており、実際の攻撃に利用される可能性も指摘されている。

libarchiveの脆弱性情報まとめ

ヌルポインタ参照について

ヌルポインタ参照とは、コンピュータプログラムにおいてメモリアドレス0（ヌル）を参照しようとする問題のことを指す。主な特徴として、以下のような点が挙げられる。

• プログラムのクラッシュや予期せぬ動作の原因となる深刻な問題
• メモリ管理の不備により発生する一般的なプログラミングエラー
• サービス拒否攻撃に悪用される可能性がある脆弱性

libarchiveで発見された脆弱性では、bsdunzip.cファイルのlist関数においてヌルポインタ参照が発生する可能性があることが確認されている。この種の脆弱性は、プログラムの実行を妨害してサービスの可用性を低下させる攻撃に利用される可能性があるため、早急な対策が求められている。

libarchiveの脆弱性に関する考察

libarchiveの脆弱性は、アーカイブファイルの展開や操作を行う多くのシステムに影響を与える可能性がある重要な問題だ。特にローカル実行が可能な脆弱性であることから、共有システムやマルチユーザー環境での悪用リスクが懸念されるところである。

今後の課題として、ベンダーの迅速な対応と脆弱性修正パッチのリリースが求められる状況となっている。この状況下でユーザーは、libarchiveを使用するアプリケーションの利用を最小限に抑えるなど、一時的な対策を検討する必要があるだろう。

将来的には、ヌルポインタ参照のような基本的な脆弱性を早期に発見できる静的解析ツールの導入や、コードレビューのプロセス強化が重要となる。開発段階での品質管理の徹底により、同様の脆弱性の発生を防ぐことが期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1632, (参照 25-03-27).
1927

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧