30秒で判断
対応すべき人
- GNOMEデスクトップ環境を使用している(libsoupが組み込まれている)
- libsoupを利用したHTTPサーバーまたはWebアプリケーションを運用している
- GNOME WebKit(Epiphany等)を使用している
対応不要な人
- libsoupを使用していない(nginxやApache httpdのみの場合は無関係)
- すでにRHSA-2025:4439等のパッチを適用済み
確認コマンド
# libsoupバージョン確認
rpm -qi libsoup 2>/dev/null || dpkg -l libsoup* 2>/dev/null
# 依存パッケージ確認
rpm -q --whatrequires libsoup 2>/dev/null | head -10
概要
libsoupはGNOMEプロジェクトが開発するHTTPライブラリで、多くのLinuxデスクトップアプリケーションとWebKitベースのブラウザに組み込まれています。
この脆弱性はsoup_message_headers_get_content_disposition()関数に存在します。関数内で解放済みのメモリ領域にアクセスするUse-After-Freeが発生し、悪意あるHTTPクライアントがlibsoupを使用したサーバーのメモリ破壊を引き起こすことができます。クラッシュ(DoS)やその他の未定義動作が発生する可能性があります。
CVSSベクトル
| 指標 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由で攻撃可能 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | None | 認証不要 |
| User Interaction | None | ユーザー操作不要 |
| Confidentiality | High | 機密性への影響:高 |
| Integrity | High | 完全性への影響:高 |
| Availability | High | 可用性への影響:高 |
影響を受けるソフトウェア
| 製品 | バージョン |
|---|---|
| libsoup | パッチ適用前のバージョン |
| libsoup3 | パッチ適用前のバージョン |
修正バージョンと回避策
パッチ適用
以下のRed Hat Security Advisoryを確認してください:
- RHSA-2025:4439 / RHSA-2025:4440 / RHSA-2025:4508 / RHSA-2025:4538
# Red Hat / Fedora / CentOS Stream
sudo dnf update libsoup libsoup3
# Debian / Ubuntu
sudo apt update && sudo apt upgrade libsoup2.4-1 libsoup-3.0-0
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。