概要
画像処理ライブラリlibvipsのバージョン8.19.0において、ヒープベースのバッファオーバーフローの脆弱性(CVE-2026-3281)が発見されました。この脆弱性は、libvips/conversion/bandrank.cファイル内のvips_bandrank_build関数において、引数indexの操作によって引き起こされると報告されています。
影響範囲
この脆弱性の影響を受けるのは以下の製品およびバージョンです。
- 対象製品: libvips
- 対象バージョン: 8.19.0
- 影響を受ける機能:
libvips/conversion/bandrank.cファイル内のvips_bandrank_build関数
想定される影響
この脆弱性が悪用された場合、ヒープベースのバッファオーバーフローにより、システムが予期せず停止したり、最悪の場合、攻撃者によって任意のコードが実行されたりする可能性があります。攻撃はローカル環境から開始される必要があると報告されています。
攻撃成立条件・悪用状況
攻撃は、脆弱なシステムへのローカルアクセス権を持つ攻撃者によって実行される必要があります。本脆弱性のエクスプロイトコードはすでに公開されており、悪用される危険性があるため、注意が必要です。
推奨対策
今すぐできる対策(最優先)
- パッチの適用: 開発元から提供されているパッチ(コミットID:
fd28c5463697712cb0ab116a2c55e4f4d92c4088)を速やかに適用することを強く推奨します。
中長期的な対策
- 利用しているlibvipsのバージョンを常に最新の状態に保ち、セキュリティアップデートを定期的に確認してください。
一時的な緩和策
現時点では、本脆弱性に対する具体的な一時的な緩和策は報告されていません。パッチの適用が最も効果的な対策となります。
確認方法
ご使用のシステムでlibvipsのバージョンが8.19.0であるかを確認してください。
参考情報
詳細については、以下の情報を参照してください。