概要
libarchiveは、tar、zip、RAR等の多数のアーカイブ形式の読み書きに対応したオープンソースライブラリです。多くのLinuxディストリビューションやmacOS、FreeBSD等で標準的に利用されています。
本脆弱性は、libarchiveのRARアーカイブ処理ロジックに存在するヒープ領域外読み取り(Out-of-bounds Read)の問題です。圧縮方式の切り替え後にLZSSスライディングウィンドウのサイズが適切に検証されないため、不正に細工されたRARアーカイブを処理する際にヒープメモリの範囲外を読み取ってしまう可能性があります。
リモートの攻撃者がこの問題を悪用した場合、特別に細工されたRARファイルを用意し、被害者にそのファイルを処理させることで、ヒープメモリ上の機密情報を窃取される恐れがあります。libarchiveを利用するアプリケーション(ファイルマネージャ、バックアップツール、Webサービス等)が広く影響を受ける可能性があります。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 7.5 |
| 深刻度 | High |
| CWE | CWE-125 (領域外読み取り) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| libarchive | libarchive Project | パッチ未適用の全バージョン |
修正バージョンと回避策
- 修正バージョン: libarchiveの最新版へアップデートしてください
- RHSAパッチ: Red Hat Enterprise Linux向けにRHSA-2026:10065、RHSA-2026:10097等のセキュリティアドバイザリが公開されています。該当ディストリビューションを利用している場合はパッケージマネージャ経由でアップデートを実施してください
- 回避策: 信頼できないソースからのRARファイルの処理を制限することでリスクを軽減できます
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。