C
月内に
BusyBox 1.37.0および1.36.1において、アーカイブ展開時のパス・トラバーサル脆弱性
📌 一言でいうと
BusyBox 1.37.0および1.36.1において、アーカイブ展開時のパス・トラバーサル脆弱性が発見されました。不適切なシンボリックリンクの検証により、攻撃者が作成した悪意のあるアーカイブを展開することで、システム上の任意のファイルにアクセスし情報を漏洩させる可能性があります。影響を受けるコンポーネントにはtar、unzip、rpm、arが含まれます。
🏢影響範囲
BusyBoxを利用している組み込みデバイス、IoT機器、およびAlpine Linux等の軽量Linuxディストリビューションを使用している組織。
✅該当時の対応
最新の修正済みバージョンへのアップデートを適用してください。信頼できないソースからのアーカイブファイルの展開を禁止し、展開前にファイルの整合性を検証することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】BusyBox パス・トラバーサル脆弱性 (CVE-2026-26157) 対応について
お疲れさまです。BusyBoxの脆弱性に関する情報共有です。
■ 概要
BusyBoxのアーカイブ展開機能において、シンボリックリンクの検証不備によるパス・トラバーサル脆弱性が発見されました。CVSSスコアは7.8 (HIGH) であり、悪意のあるアーカイブを展開させることで、システム内の任意のファイルを読み取られる可能性があります。
■ 影響範囲
- 対象製品: BusyBox
- 対象バージョン: 1.36.1, 1.37.0
- 影響コンポーネント: tar, unzip, rpm, ar
■ 対応手順
1. 運用中のデバイスおよびコンテナイメージにおけるBusyBoxのバージョンを確認してください。
2. 修正済みバージョンへのアップデートを計画・実施してください。
3. アップデートが困難な場合は、信頼できないアーカイブファイルの展開を制限する運用上の対策を検討してください。
■ 参考情報
- Vendor Homepage: https://busybox.net
- CVE-2026-26157
対応優先度: 高
対応期限: 速やかに確認し、次回のメンテナンスサイクルで適用してください。
お疲れさまです。BusyBoxの脆弱性に関する情報共有です。
■ 概要
BusyBoxのアーカイブ展開機能において、シンボリックリンクの検証不備によるパス・トラバーサル脆弱性が発見されました。CVSSスコアは7.8 (HIGH) であり、悪意のあるアーカイブを展開させることで、システム内の任意のファイルを読み取られる可能性があります。
■ 影響範囲
- 対象製品: BusyBox
- 対象バージョン: 1.36.1, 1.37.0
- 影響コンポーネント: tar, unzip, rpm, ar
■ 対応手順
1. 運用中のデバイスおよびコンテナイメージにおけるBusyBoxのバージョンを確認してください。
2. 修正済みバージョンへのアップデートを計画・実施してください。
3. アップデートが困難な場合は、信頼できないアーカイブファイルの展開を制限する運用上の対策を検討してください。
■ 参考情報
- Vendor Homepage: https://busybox.net
- CVE-2026-26157
対応優先度: 高
対応期限: 速やかに確認し、次回のメンテナンスサイクルで適用してください。
Subject: [Security Advisory] BusyBox Path Traversal Vulnerability (CVE-2026-26157)
Dear IT/Security Team,
We are sharing information regarding a path traversal vulnerability identified in BusyBox.
■ Overview
BusyBox archive extraction utilities fail to properly sanitize symlink targets containing trailing ".." components. This vulnerability (CVE-2026-26157) has a CVSS score of 7.8 (HIGH) and could allow an attacker to achieve arbitrary file read and information disclosure via malicious archives.
■ Affected Scope
- Product: BusyBox
- Versions: 1.36.1, 1.37.0
- Affected Components: tar, unzip, rpm, ar
■ Mitigation Steps
1. Audit current devices and container images to identify the installed BusyBox version.
2. Update to a patched version of BusyBox as soon as possible.
3. If immediate patching is not feasible, restrict the extraction of archives from untrusted sources.
■ Reference
- Vendor Homepage: https://busybox.net
- CVE-2026-26157
Priority: High
Deadline: Immediate review and application during the next maintenance window.
Dear IT/Security Team,
We are sharing information regarding a path traversal vulnerability identified in BusyBox.
■ Overview
BusyBox archive extraction utilities fail to properly sanitize symlink targets containing trailing ".." components. This vulnerability (CVE-2026-26157) has a CVSS score of 7.8 (HIGH) and could allow an attacker to achieve arbitrary file read and information disclosure via malicious archives.
■ Affected Scope
- Product: BusyBox
- Versions: 1.36.1, 1.37.0
- Affected Components: tar, unzip, rpm, ar
■ Mitigation Steps
1. Audit current devices and container images to identify the installed BusyBox version.
2. Update to a patched version of BusyBox as soon as possible.
3. If immediate patching is not feasible, restrict the extraction of archives from untrusted sources.
■ Reference
- Vendor Homepage: https://busybox.net
- CVE-2026-26157
Priority: High
Deadline: Immediate review and application during the next maintenance window.