独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月10日、GNU Libmicrohttpd における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。三井物産セキュアディレクション株式会社の安松達彦氏が報告を行っている。影響を受けるシステムは以下の通り。
GNU Libmicrohttpd v1.0.2 およびそれ以前
※1 広く利用されているlibmicrohttpd.soではなく、--enable-experimentalオプションを有効にしてビルドした際に生成されるlibmicrohttpd_ws.soに存在する。
※2 libmicrohttpdのGitリポジトリのmasterブランチにて、v1.0.2タグより後のcommit: ff13abcコミットまでのソースコードには本脆弱性が残存している。
GNU Projectが提供するGNU Libmicrohttpdには、不正に細工されたパケットを送信されることににより、当該システムがサービス運用妨害(DoS)状態にされる可能性がある複数の脆弱性が存在する。
・NULLポインタ参照(CVE-2025-59777)
・ヒープベースのバッファオーバーフロー(CVE-2025-62689)
JVNでは対策として、libmicrohttpd_ws.soは実験的に導入されたライブラリのため、利用している場合は利用を停止するよう呼びかけている。
