製品・ソフトウェアに関する情報
Vulnerability Search
libarchive等の複数ベンダの製品におけるNULL ポインタデリファレンスに関する脆弱性
Title libarchive等の複数ベンダの製品におけるNULL ポインタデリファレンスに関する脆弱性
Summary

libarchiveに脆弱性が発見されました。ACL解析ロジック、特にarchive_acl_from_text_nl()関数内にNULLポインタ参照の脆弱性が存在します。不正なACL文字列(例えば、後続フィールドのない単独の「d」や「default」タグ)を処理する際に、関数はポインタを進める前に十分な検証を行いません。攻撃者は悪意を持って細工されたアーカイブを提供することでこの脆弱性を悪用でき、libarchive API(例えばbsdtar)を利用するアプリケーションをクラッシュさせ、サービス拒否(DoS)を引き起こす可能性があります。これによりサービスが停止します。

Possible impacts 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 7, 2026, midnight
Registration Date April 30, 2026, 10:58 a.m.
Last Update April 30, 2026, 10:58 a.m.
CVSS3.0 : 警告
Score 5.5
Vector CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Affected System
レッドハット
Red Hat Enterprise Linux 10.0
Red Hat Enterprise Linux 6.0
Red Hat Enterprise Linux 7.0
Red Hat Enterprise Linux 8.0
Red Hat Enterprise Linux 9.0
Red Hat Hardened Images 
Red Hat OpenShift Container Platform 4.0
libarchive
libarchive 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年04月30日]
  掲載		 April 30, 2026, 10:58 a.m.
NVD Vulnerability Information
CVE-2026-5745
Summary

A flaw was found in libarchive. A NULL pointer dereference vulnerability exists in the ACL parsing logic, specifically within the archive_acl_from_text_nl() function. When processing a malformed ACL string (such as a bare "d" or "default" tag without subsequent fields), the function fails to perform adequate validation before advancing the pointer. An attacker can exploit this by providing a maliciously crafted archive, causing an application utilizing the libarchive API (such as bsdtar) to crash, resulting in a Denial of Service (DoS).

Publication Date April 8, 2026, 1:16 a.m.
Registration Date April 15, 2026, 11:29 a.m.
Last Update April 9, 2026, 6:27 a.m.
Related information, measures and tools
Common Vulnerabilities List