概要
画像処理ライブラリImageMagickにおいて、メモリリークの脆弱性(CVE-2026-25969)が報告されました。この脆弱性は、バージョン7.1.2-15より前のImageMagickに存在し、coders/ashlar.c内のWriteASHLARImage関数が、例外発生時に割り当てられたメモリを適切に解放しないことに起因します。これにより、メモリリークが発生し、システムリソースの枯渇につながる可能性があります。本脆弱性の深刻度は中程度(MEDIUM)と評価されています。
影響範囲
本脆弱性の影響を受けるのは、ImageMagickのバージョン7.1.2-15より前のすべてのバージョンです。特に、ashlar形式の画像書き込みに関連する処理を使用する環境が影響を受ける可能性があります。
想定される影響
継続的なメモリリークが発生した場合、システムが利用可能なメモリを徐々に消費し尽くす可能性があります。これにより、アプリケーションのパフォーマンス低下、システムの不安定化、最終的にはサービス停止(DoS)につながる恐れがあります。長期間にわたる運用において、システムの安定性に悪影響を及ぼす可能性が考えられます。
攻撃成立条件・悪用状況
この脆弱性は、ImageMagickがashlar形式の画像を処理する際に、特定の条件下で例外が発生した場合に引き起こされると報告されています。現時点では、本脆弱性の具体的な悪用状況や概念実証(PoC)に関する情報は公開されていません。
推奨対策(優先度付き)
-
【最優先】ImageMagickのアップデート
ImageMagickをバージョン7.1.2-15以降に速やかにアップデートすることを強く推奨します。このバージョンには、本脆弱性を修正するためのパッチが含まれています。
アップデートを実施する際は、事前にテスト環境で互換性や業務への影響を確認することを推奨します。
一時的な緩和策
現時点では、本脆弱性に対する具体的な一時的な緩和策は報告されていません。ImageMagickの利用を制限することも考えられますが、業務への影響が大きいため、推奨される対策は速やかなアップデートです。
確認方法
現在使用しているImageMagickのバージョンを確認してください。コマンドラインでmagick -versionまたはconvert -versionを実行することで、バージョン情報を取得できます。表示されるバージョンが7.1.2-15未満である場合、本脆弱性の影響を受ける可能性があります。
参考情報
- CVEfeed.io: CVE-2026-25969