🦔

Libxml2 ふたたび脆弱性があると認識

に公開
vulnerability
libxml2
tech

2025年6月にはlibxml2に対して、FreeBSD-portsに修正が出ていたため、何かしら解決されたものと考えていましたが、未だ解決されてはいない箇所が見つかりました。以下は解説になります、

libxml2に新たなクリティカル脆弱性が発見 - CVE-2025-49794

概要

2025年6月16日、広く使用されているXMLパーサーライブラリであるlibxml2に新たなクリティカル脆弱性CVE-2025-49794が公開されました。この脆弱性はUse-After-Free(解放後使用)の問題で、CVSS v3.1基準スコア**9.1(Critical)**という非常に高い深刻度を持つ脆弱性です。

脆弱性の詳細

基本情報

  • CVE ID: CVE-2025-49794
  • CVSS スコア: 9.1(Critical)
  • 脆弱性タイプ: Use-After-Free
  • 発見日: 2025年6月10日(予約)
  • 公開日: 2025年6月16日

技術的詳細

この脆弱性は、libxml2のXPath要素解析処理において、特定の条件下で発生します。具体的には以下の状況で問題が発生します:

  • XMLスキマトロン(Schematron)が<sch:name path="..."/>スキーマ要素を含む場合
  • xmlSchematronGetNode関数でXPath式を処理する際
  • 解放済みメモリへのポインタが返され、そのメモリが再度アクセスされる

攻撃シナリオ

攻撃者は以下の手順で脆弱性を悪用できる可能性があります:

  1. 特別に細工された悪意のあるXML文書を作成
  2. libxml2を使用するアプリケーションに対してこの文書を入力として提供
  3. XPath要素の解析処理中にUse-After-Freeを引き起こす
  4. プログラムのクラッシュまたはその他の未定義動作を発生させる

影響範囲

対象システム

  • Debian 11 (Bullseye)
  • Debian 12 (Bookworm)
  • Red Hat Enterprise Linux系列
  • その他のLinuxディストリビューション
  • libxml2を使用するすべてのアプリケーション

影響度

  • 整合性: 完全な損失(攻撃者が保護されたファイルを変更可能)
  • 可用性: 完全な損失(攻撃者がリソースアクセスを完全に拒否可能)
  • 機密性: 影響なし

攻撃の特徴

  • 攻撃ベクター: ネットワーク
  • 攻撃の複雑さ: 低
  • 必要な権限: なし
  • ユーザー操作: 不要

修正状況

現在の状況

  • 2025年7月14日現在、修正版はまだリリースされていません
  • Debian 11では未修正の状態
  • Debian 12では軽微な問題として追跡中
  • アップストリームでの修正を待っている状態

影響を受けるパッケージ

  • libxml2
  • libxml2-devel
  • libxml2-python+3

対策とリスク耐性付与、回避

即座に実行すべき対策

  1. 現状把握
  • 自社システムでlibxml2を使用しているアプリケーションの特定
  • 影響を受けるバージョンの確認
  1. 一時的な対策
  • XMLスキマトロンを使用する処理の一時停止(可能な場合)
  • 信頼できないXML文書の処理を制限
  • WAFやIPS等でのXML入力の監視強化
  1. 監視強化
  • アプリケーションクラッシュの監視
  • 異常なXML処理要求の検出
  • システムログの継続的な監視

長期的な対策

  1. パッチ適用
  • 修正版がリリースされ次第、速やかにアップデート
  • テスト環境での十分な検証後に本番環境へ適用
  1. セキュリティ強化
  • XML処理における入力検証の強化
  • サンドボックス環境での処理実行
  • 最小権限の原則の適用

過去の脆弱性との比較

libxml2では過去にも複数の脆弱性が発見されており、特に以下の点で今回の脆弱性は注目に値します:

  • 高いCVSSスコア: 9.1という非常に高い評価
  • 攻撃の容易さ: 低い攻撃複雑度とユーザー操作不要
  • 広範囲な影響: 多くのLinuxディストリビューションで使用される基本ライブラリ

推奨事項

組織への推奨

  1. 緊急対応チームの設置
  2. libxml2使用状況の全社的な調査
  3. 修正版リリースの継続的な監視
  4. インシデント対応計画の見直し

開発者への推奨

  1. XML処理コードの見直し
  2. 入力検証の強化
  3. エラーハンドリングの改善
  4. セキュリティテストの実施

今後の展望

libxml2の開発チームは修正に取り組んでおり、近い将来にパッチがリリースされる見込みです。しかし、この脆弱性の深刻度を考慮すると、組織は以下の点を継続的に監視する必要があります:

  • アップストリームでの修正状況
  • 各ディストリビューションでのパッケージ更新
  • セキュリティアドバイザリの発行

結論

CVE-2025-49794は、libxml2における非常に深刻な脆弱性です。現在修正版は利用できませんが、組織は適切なリスク評価と一時的な対策を実施し、修正版のリリースを待つ必要があります。この脆弱性は、基本的なライブラリのセキュリティがいかに重要であるかを改めて示しています。

この記事は2025年7月14日時点の情報に基づいて作成されています。最新の情報については、関連するセキュリティアドバイザリを継続的に確認してください。

雑感

  • パーサーは脆弱性の温床

  • samba 関連に波及し、認証システムが接続されているシステムに影響がある。

  • xslt も繋がっていて、別な問題が発生中

    というコトで、xml は排除しにくいデータ記述言語ですけど、新規には使わないかパーサを厳格に管理することが推奨されます。

Discussion