The Document FoundationがLibreOfficeのPDF署名偽造脆弱性CVE-2025-2866を公開、24.8.6以前、25.2.2以前のバージョンが影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2025年05月のアーカイブ一覧
【2025年05月】セキュリティに関するアーカイブ一覧
【2025年05月08日】セキュリティに関するアーカイブ一覧
The Document FoundationがLibreOfficeのPDF署名偽造脆弱性CVE-2025-2866を公開、24.8.6以前、25.2.2以前のバージョンが影響

記事の要約

LibreOfficeのPDF署名検証における脆弱性CVE-2025-2866が公開された
adbe.pkcs7.sha1署名の検証コードの欠陥により、不正な署名が有効と判定される可能性がある
LibreOffice 24.8.6以前、25.2.2以前のバージョンが影響を受ける

LibreOfficeのセキュリティ脆弱性に関する情報公開

The Document Foundationは2025年4月27日、LibreOfficeにおけるPDF署名偽造の脆弱性CVE-2025-2866に関する情報を公開した。この脆弱性は、LibreOfficeのPDF署名検証機能における欠陥に起因するもので、不正な署名が有効なものとして扱われる可能性があるのだ。

具体的には、adbe.pkcs7.sha1サブフィルターを使用するPDF署名の検証コードに問題があり、検証が不十分なため、偽造された署名も有効と認識されてしまう。この脆弱性は、LibreOfficeのセキュリティに深刻な影響を与える可能性があるため、早急な対策が必要となる。

影響を受けるLibreOfficeのバージョンは、24.8シリーズでは24.8.6より前のバージョン、25.2シリーズでは25.2.2より前のバージョンである。ユーザーは速やかに最新バージョンへのアップデートを行うべきだ。

この脆弱性発見と修正に貢献したJuraj ?arinay氏への謝辞も、公開情報に含まれている。

影響を受けるLibreOfficeバージョンと対策

バージョン	影響	対策
LibreOffice 24.8 < 24.8.6	影響を受ける	24.8.6以上にアップデート
LibreOffice 25.2 < 25.2.2	影響を受ける	25.2.2以上にアップデート

LibreOfficeセキュリティアドバイザリ

CWE-347 不適切な暗号署名の検証について

この脆弱性は、CWE-347「不適切な暗号署名の検証」に分類される。これは、暗号署名の検証プロセスに欠陥があり、不正な署名が有効と誤って判断される可能性があることを示す。

検証プロセスの不備
入力値の検証不足
アルゴリズムの誤用

このような脆弱性は、悪意のある攻撃者によって悪用され、改ざんされた文書やデータが正当なものとして受け入れられてしまう可能性があるため、厳格な検証プロセスが不可欠だ。

CVE-2025-2866に関する考察

LibreOfficeにおけるPDF署名検証の脆弱性CVE-2025-2866の修正は、ユーザーのセキュリティ保護に大きく貢献するだろう。迅速な対応によって、不正なPDF文書による被害を未然に防ぐことが可能になる。しかし、新たな脆弱性が発見される可能性も常に存在する。

そのため、The Document Foundationは継続的なセキュリティアップデートを提供し、ユーザーへの情報提供を徹底する必要がある。また、ユーザー側も定期的なソフトウェアアップデートを実施し、セキュリティ意識を高めることが重要だ。セキュリティ対策は、開発者とユーザー双方による継続的な努力によって実現される。

将来的には、より堅牢で安全な署名検証メカニズムの開発や、自動化された脆弱性検出システムの導入などが期待される。これにより、より安全なLibreOffice環境を実現できるだろう。