解凍・圧縮ソフト「7-Zip」に11年間も眠り続けていた脆弱性、コード実行のおそれ

「7-Zip」v25.01

　8月3日にリリースされた「7-Zip」v25.01では、脆弱性の修正も行われているとのこと。このバージョンではシンボリックリンクの処理コードが変更され、書庫ファイルからファイルを抽出する際のセキュリティを強化したことがアナウンスされていたが、先日行われたリリースノートの更新で、これが「CVE-2025-55188」への対策であるとの記述が追加された。

　この脆弱性を発見したlunbun氏によると、v25.01より前のバージョンの「7-Zip」には書庫ファイルに埋め込まれた悪意あるシンボリックリンクをサニタイズ（無毒化）する処理に問題があり、少なくとも2つの方法で迂回できてしまうという。そのため、抽出先のディレクトリの外部にシンボリックリンクを作成してファイルを任意に書き込める可能性がある。最悪の場合、コードの実行につながるおそれがある。

　2つの迂回策のうち1つはWindows/Linuxで機能するが、もう1つはLinuxでしか動作しない。また、Windows環境では管理者権限で書庫ファイルを展開したり、開発者モードが有効化されていない限り、抽出処理でシンボリックリンクを作成できない。そのため、この脆弱性の影響を受けるのは主にLinuxユーザーで、Windowsユーザーへの影響は限定的だとみられている。この問題は開発者へ報告されると、すぐに対処された。

　ちなみに、「CVE-2025-55188」はLinux版「7-Zip」で約4年間存在していたとのこと（2021年12月12日にリリースされたv21.07以降）。Windows版はもっと長く、約11年間もそのままだったという（2014年6月22日にリリースされたv9.34以降）。いずれも「7-Zip」でシンボリックリンクをサポートしたときに不具合が混入してしまったようだ。

　MITREによる深刻度の評価は、「CVSS 3.1」の基本値で「3.6」（Low）。さほど深刻ではないが、都合のよいときに最新版への更新を行っておくべきだろう。シンボリックリンク作成時にセキュリティチェックがどうしても邪魔な場合は、コマンドラインスイッチ「-snld20」でバイパスできる。無論、これは自己責任だ。