XZ Utils の脆弱性 CVE-2025-31115 が FIX：マルチスレッド・デコーダーに深刻な影響

CVE-2025-31115: XZ Utils Hit Again with High-Severity Multithreaded Decoder Bug

2025/04/07 SecurityOnline — XZ Utils は、データ圧縮機能を提供する、広く利用されるツールとライブラリのスイートである。効率的な圧縮で知られる XZ Utils は、gzip よりも小さなファイルの作成が必要な場合で多用される。ネイティブ・ファイル・フォーマットは “.xz” だが、従来からの “.lzma” フォーマットもサポートしている。

今回、新たに発見された脆弱性 CVE-2025-31115 は、XZ Utils のバージョン 5.3.3alpha 〜 5.8.0 に影響を及ぼすものだ、この脆弱性が悪用されると、マルチスレッド・デコーダーのヒープ領域に use-after-free が発生し、システム・クラッシュやメモリ破損の可能性が生じる。

この脆弱性 CVE-2025-31115 (CVSSv4：8.7) は、liblzma の lzma_stream_decoder_mt 関数に存在し、アプリケーションとシステムに深刻なリスクをもたらすという。

この脆弱性は、デコーダーが無効な入力を処理する方法に起因する。XZ Utils のアドバイザリには、「無効な入力により、少なくともクラッシュを引き起こす可能性がある。この脆弱性がもたらす結果は深刻であり、解放後のヒープ使用や、ヌルポインタとオフセットに基づくアドレスへの書き込みなどにいたる恐れがある。つまり、この脆弱性の悪用の成功した攻撃者は、メモリ破壊を達成し、想定外のプログラム動作を引き起こし、任意のコード実行の可能性も手にする。

この脆弱性は、マルチスレッド・デコーダー用の lzma_stream_decoder_mt 関数を利用する、アプリケーションとライブラリに影響する。

幸いなことに、すでに XZ Utils はバージョン 5.8.1 をリリースし、この脆弱性に対処している。

この修正プログラムが適用される範囲は、xz Git リポジトリの v5.4／v5.6／v5.8 および、マスター・ブランチとなる。古い安定ブランチに対して、この新たなリリース・パッケージは提供されないが、スタンドアロン・パッチが提供され、すべての影響を受けるリリースに対応している。

なお、速やかなパッチ適用が不可能な場合には、回避策が提供されている。この脆弱性の影響は、シングルスレッドの .xz デコーダー (lzma_stream_decoder) には及ばない。したがって、シングルスレッドのデコーダーを使用するコマンドである、”xz –decompress –threads=1″ および “xzdec” により、脆弱性 CVE-2025-31115 のリスクを軽減できる。

XZ Utils は、重大なサプライ チェーン・セキュリティ問題にも発展し得る。2024年3月に Red Hat が公表したのは、最新の XZ Utils データ圧縮ツールとライブラリで発見されたバックドアに関する警告である。この問題は、CVE-2024-3094 として追跡され、CVSS 10.0 というスコアが割り当てられた。

Fedora の開発／実験バージョンを実行しているシステムの使用を、Red Hat は直ちに停止し、Fedora 40 ベータ版で XZ の 5.4.x バージョンに戻すようユーザーに勧告した。

調査の結果として、難読化された悪意のコードが、ダウンロード・パッケージに存在することが判明したが、Git ディストリビューションには存在していなかった。このバックドアは、ビルド時の悪意の M4 マクロを通じて挿入されたという、結論に至った。

文中で取り上げている XZ Utils の、バックドア CVE-2024-3094 (CVSS 10.0) ですが、OSS プロジェクトにおけるサプライチェーン攻撃のリスクを改めて突きつける、とても象徴的な出来事でね。以下に関連記事をまとめています。よろしければ、XZ Utils で検索と併せて、ご参照下さい。

2024/04/25：XZ Utils 汚染が示すソーシャル・エンジニアリングの脅威
2024/04/12：XZ Utils バックドア汚染：Rust Crate liblzma-sys 侵害
2024/04/11：XZ Utils バックドア騒動：セキュリティ問題が浮き彫りに
2024/04/02：XZ Utils バックドア検出の無料スキャナーを Binarly が提供
2024/04/02：XZ Utils に仕込まれた悪意のコード：RCE を引き起こす？
2024/04/01：XZ Utils に注入のバックドア：主要 Linux ディストリに影響
2024/03/29：XZ Utils の脆弱性：Fedora でバックドアが発見