30秒で判断
対応すべき人
- GNU Emacsを使用している(特にemacs-w3m、ewwブラウザ、org-modeのURLリンク機能を利用している)
- Emacsでメールの閲覧(mu4e、Gnus等)をしている
対応不要な人
- GNU Emacsを使用していない
- Emacsはインストールされているが、URL/Webコンテンツの処理機能を使っていない
- すでにパッチ適用済みのバージョンを使用している(RHSA-2025:1915等)
確認コマンド
# Emacsバージョン確認
emacs --version | head -1
# インストール済みパッケージ確認(Red Hat系)
rpm -qi emacs
概要
テキストエディタGNU Emacsにコマンドインジェクション脆弱性があります。Emacsが特定のURLを処理する際、HTTPリダイレクト先URLに含まれるシェルメタキャラクターが適切にエスケープされないため、任意のシェルコマンドが実行されます。
攻撃者は悪意あるWebサイトへのリンクをメールやドキュメントに含め、ユーザーをその特別に細工されたURLにアクセスさせることで、ユーザー権限でのリモートコード実行が可能になります。
開発者やシステム管理者がEmacsを日常的に使用している環境では、フィッシングメールや不正なドキュメントによる被害リスクがあります。
CVSSベクトル
| 指標 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由で攻撃可能 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | None | 認証不要 |
| User Interaction | Required | URLへのアクセスが必要 |
| Confidentiality | High | 機密性への影響:高 |
| Integrity | High | 完全性への影響:高 |
| Availability | High | 可用性への影響:高 |
影響を受けるソフトウェア
| 製品 | バージョン |
|---|---|
| GNU Emacs | パッチ適用前のバージョン |
修正バージョンと回避策
パッチ適用
以下のRed Hat Security Advisoryを確認してください:
- RHSA-2025:1915 / RHSA-2025:1917 / RHSA-2025:1961 / RHSA-2025:1962 / RHSA-2025:1963
# Red Hat / Fedora / CentOS Stream
sudo dnf update emacs
# Debian / Ubuntu
sudo apt update && sudo apt upgrade emacs
回避策
Emacsでの外部URLアクセスを無効化するか、信頼されたURLのみを処理するように設定を見直すことで攻撃リスクを軽減できます。
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。