出典: Security NEXT – https://www.security-next.com/176945
GNU Libmicrohttpdに複数の脆弱性が判明 – 実験的モジュールの利用中止を推奨
GNU Projectが提供するHTTPサーバライブラリ「GNU Libmicrohttpd」の実験的コンポーネントに複数の深刻な脆弱性が発見されました。特に「libmicrohttpd_ws.so」というモジュールに起因する問題であり、利用中止が強く呼びかけられています。
主要なポイント
- 脆弱性の対象モジュール:「libmicrohttpd_ws.so」という実験的なモジュールに複数の脆弱性が存在。
- 影響バージョン:「Libmicrohttpd v1.0.2」およびそれ以前のバージョンで、特定のオプションを有効にしてビルドした場合に該当。
- 具体的な脆弱性:NULLポインタ参照の「CVE-2025-59777」とヒープベースのバッファオーバーフロー「CVE-2025-62689」が確認されている。
- 攻撃の可能性:認証不要で細工したパケットを送信することで、リモートからサービス拒否(DoS)攻撃を引き起こせる。
- 評価スコア:CVSSv4.0で8.7、CVSSv3.1で7.5と高い危険度が評価されている。
技術的な詳細や背景情報
GNU Libmicrohttpdは、C言語で実装された軽量なHTTPサーバライブラリで、組み込みシステムや小規模なサーバ用途で広く利用されています。今回問題となった「libmicrohttpd_ws.so」はWebSocket対応の実験的モジュールであり、標準のライブラリには含まれないオプションを有効化した場合にのみビルドされます。
脆弱性の一つであるNULLポインタ参照は、プログラムが存在しないメモリアドレスを読み込もうとすることでクラッシュを引き起こし、サービスの停止を招きます。もう一つのヒープベースのバッファオーバーフローは、メモリ領域の境界を超えてデータを書き込むことで、攻撃者が任意のコード実行やシステムの制御奪取を狙える可能性があります。
これらの脆弱性は認証を必要とせず、リモートから細工したパケットを送るだけで攻撃が成立するため、特に危険です。脆弱性の報告は三井物産セキュアディレクションの安松達彦氏によって行われ、IPA(情報処理推進機構)およびJPCERTコーディネーションセンターが調整を担当しました。
影響や重要性
GNU Libmicrohttpdは多くのオープンソースプロジェクトや組み込みシステムで利用されているため、今回の脆弱性は広範囲に影響を及ぼす可能性があります。特に実験的モジュールを利用している環境では、サービスの停止やシステムの不正操作といった深刻なリスクが存在します。
また、認証不要で攻撃が可能なため、インターネットに直接接続された環境では即座に悪用される恐れがあります。開発者や運用者は該当モジュールの利用を直ちに中止し、最新の安全なバージョンへの更新や代替手段の検討が必要です。
まとめ
GNU Libmicrohttpdの実験的モジュール「libmicrohttpd_ws.so」に複数の深刻な脆弱性が発見されました。これらはリモートから認証なしにサービス拒否を引き起こす可能性があり、利用中止が強く推奨されています。影響を受けるシステム管理者は速やかに対応し、最新の情報を確認することが重要です。
