![at+link[エーティーリンク]](/common/images/header_logo.png){kind=logo}
いつもご利用いただき、誠にありがとうございます。
libxml2 に重大な脆弱性が確認された為ご案内いたします。
【脆弱性の概要】
CVE-2025-49794
libxml2 に使用後解放の脆弱性が発見されました。この問題は、XML スキーマに <sch:name path="..."/> スキーマ要素が含まれる場合、特定の条件下で XPath 要素をパースする際に発生します。この脆弱性により、悪意のある攻撃者が libxml の入力として使用される悪意のある XML ドキュメントを構築することが可能となり、libxml を使用するプログラムのクラッシュやその他の予期しない動作を引き起こす可能性があります。
この問題は、Red Hat Product Security により「重要」の深刻度で評価されました。libxml は、プログラムが XML を消費しライブラリを使用する方法によっては、ネットワークから取得した XML を解析するために使用されるためです。さらに、初期の報告では無効なメモリアクセス(A:H)によるクラッシュが示されていますが、アプリケーションが機密データを上書きすることでデータ整合性に影響を与える可能性のある他の未定義の問題も排除されていません。
CVE-2025-49796
libxml2 に脆弱性が発見されました。入力 XML ファイルから特定の sch:name 要素を処理すると、メモリ破損の問題が発生する可能性があります。この脆弱性により、攻撃者は悪意のある XML 入力ファイルを作成し、libxml をクラッシュさせ、メモリ内の機密データが破損することでサービス拒否(DoS)やその他の予期しない動作を引き起こす可能性があります。
脆弱性の詳細は下記を参照ください。
- CVE-2025-49794 (Red Hat Customer Portal)
- CVE-2025-49796 (Red Hat Customer Portal)
- [ALSA-2025:10698] Important: libxml2 security update (AlmaLinux errata)
- [ALSA-2025:10699] Important: libxml2 security update (AlmaLinux errata)
- RLSA-2025:10698 Important: libxml2 security update (Rocky Enterprise Software Foundation Product Errata)
影響を受けるバージョン
- AlmaLinux 8
- RockyLinux 8
- AlmaLinux 9
対象パッケージのアップデートが必要となります。
(Plesk をご利用中のサーバでは自動アップデートが有効となっております。
念のためアップデートされているかどうか確認ください。不明な場合はサポートまでお問い合わせください)
提供される新バージョン情報(※ 依存パッケージも同時に更新されます)
各 OS ベンダーより本脆弱性の修正パッケージが提供されています。
修正後のバージョンは下記の通りです。
● AlmaLinux 8
- libxml2-2.9.7-21.el8_10.1.x86_64.rpm
● RockyLinux 8
- libxml2-2.9.7-21.el8_10.1.x86_64.rpm
● AlmaLinux 9
- libxml2-2.9.13-10.el9_6.x86_64.rpm
確認方法およびアップデート方法
現在のパッケージバージョンは下記で確認が可能です。
■ AlmaLinux 8 / RockyLinux 8 / AlmaLinux 9
○ パッケージ確認
# rpm -qa |grep libxml2
■ AlmaLinux 8 / RockyLinux 8 / AlmaLinux 9
○ アップデート
# dnf upgrade libxml2
○ サービスの利用確認
# dnf needs-restarting
○ サーバ再起動の有無確認
# dnf needs-restarting -r
※ 注意 ※
アップデート後は、libxml2 を使用しているサービスの再起動が必要となります。
どのアプリケーションで使用されているかはお客様の環境により異なりますので、不明な場合はサーバ再起動を推奨いたします。
すべてのパッケージにてアップデートを行う場合は次のように実施します。
※ この場合、多数のパッケージがアップデートされますので、ご注意ください。
■ AlmaLinux 8 / RockyLinux 8 / AlmaLinux 9
次のコマンドを実施し、アップデート対象となるパッケージが問題ないものか確認の上実施してください。
# dnf check-update
※ アップデート対象が存在しない場合は、下記コマンドを実施後、再度アップデート対象があるか確認してください。
# dnf clean all
アップデート対象となるパッケージが問題ないことを確認できましたら、次にコマンドでアップデートを実施してください。
# dnf upgrade
※ 当サービスでの作業が必要な場合は有償にて実施させていただきます。
作業費用は 5,500円(税共) となりますが、至急もしくは営業時間外の対応をご希望の際は、別途費用が発生します。
【ご協力のお願い】
作業のご依頼やお問い合わせの際には、対象となるサーバを特定できる情報(IP アドレスなど)を併せてご連絡をお願いいたします。
セキュリティーホールの発生時には、当サービスへ作業のご依頼を多数いただく場合がございます。そのため、特に深夜帯での時間指定については、ご希望にそえないこともあることを予めご了承くださいますようお願いいたします。
ご希望の作業日時がある場合は、できる限り当サポート体制の厚い営業時間内でのご指定をお願いいたします。
![at+link[エーティーリンク]](/common/images/footer_logo.gif){kind=logo}
