バイナリ解析やリバースエンジニアリングに使うオープンソースのフレームワークradare2に、4件の脆弱性(CVE)が公表されました。影響範囲と修正版、CVEの一覧をまとめて確認できるように整理します。
radare2の複数脆弱性 3行まとめ
今回公表された脆弱性の要点を、先に3点へまとめました。
- radare2に4件の脆弱性が公表
- 影響は6.1系で6.1.8にて修正済み
- 利用中の環境を確認し修正版6.1.8へ更新
本記事の確認・更新手順は一般的な例です。実際の対応は、利用している構成や依存関係、権限設定、運用ルールによって異なります。
作業の前に必ずバックアップを取得し、検証環境で影響を確認したうえで、各自の責任で実施してください。
影響を受けるradare2のバージョンと修正版
今回の脆弱性群は6.1系が対象で、6.1.8で修正されています。修正版6.1.8への更新で、4件すべてにまとめて対応できます。
| 項目 | 内容 |
|---|---|
| 影響バージョン | 6.1系(6.1.8より前) |
| 修正版 | 6.1.8 |
| 推奨更新先 | 4件すべてを含む6.1.8以降 |
radare2で公表された脆弱性の種類(CWE)
今回のCVEは、共通脆弱性タイプ(CWE)で見ると2種類に分かれます。CWEは脆弱性の種類を分類する国際的な枠組みです。
数値エラーに分類される2件(CWE-189)
CVE-2026-14757とCVE-2026-14758は、数値処理の誤りを示すCWE-189に分類されます。整数の計算やサイズ算出で想定外の値が生じる種類の不具合です。
バッファエラーに分類される2件(CWE-119)
CVE-2026-14759とCVE-2026-14760は、メモリ境界外の操作を示すCWE-119に分類されます。CWE-119は一般に、バッファの範囲を超えた読み書きでクラッシュや情報の露出を招く種類です。
radare2は解析対象のバイナリを読み込むツールです。出所の不明な検体は、隔離環境で慎重に扱う運用が安全につながります。
radare2で公表された脆弱性一覧(CVE 4件)
今回まとめて公表された4件のCVEを一覧にまとめました。深刻度を数値化するCVSSは、評価主体により値が異なる場合があります。
| CVE番号 | JVNDB(CVSS) | ベンダ公式(CVSS) | 種類(CWE) |
|---|---|---|---|
CVE-2026-14757 |
7.8(High) | 4.8/5.3/4.3 | 数値エラー(CWE-189) |
CVE-2026-14758 |
5.5(Medium) | 4.8/3.3/1.7 | 数値エラー(CWE-189) |
CVE-2026-14759 |
7.8(High) | 4.8/3.3/1.7 | バッファエラー(CWE-119) |
CVE-2026-14760 |
7.8(High) | 4.8/3.3/1.7 | バッファエラー(CWE-119) |
上表の深刻度はJVNDBによるCVSS基本値です。ベンダ公式は基準の異なる複数のCVSS値を示しており、単純な比較には向きません。
radare2を修正版へ更新する対応手順
対象バージョンを利用している場合の対応を、優先度の高い順にまとめました。
-
radare2 -vで利用中のバージョンを表示し、上記の影響バージョンの表と照合して影響範囲に含まれるかを確認する - radare2 を呼び出しているスクリプトやCI・手作業の解析フローを洗い出し、対象のバイナリを扱う機能を使用しているかを確認する
- 公式アドバイザリに従って修正版6.1.8へ更新する
- 更新後に
radare2 -vでバージョンを表示し、6.1.8以降であることを確認する - 直ちに更新できない場合は信頼できない検体の解析を控える
4件のCVEは修正版6.1.8でまとめて修正されています。個別ではなく、修正版への更新でまとめて対応できます。
trends編集部の一言
同一製品で4件のCVEが同時に公表される場合でも、多くは修正版へまとめて対応できます。まずは依存関係に含まれるか、影響する機能を使っているかの確認から始めると、対応の優先度を判断しやすくなるはずです。
radare2はセキュリティ調査やマルウェア解析の現場で広く使われるツールです。解析対象そのものが攻撃者由来になりうるため、解析基盤を最新に保つ運用が実務では欠かせません。
References
- ^ JVNDB. 「radareのradare2における複数の脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022717.html, (参照 26-07-10).
- ^ JVNDB. 「radareのradare2における複数の脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022716.html, (参照 26-07-10).
- ^ JVNDB. 「radareのradare2における複数の脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022715.html, (参照 26-07-10).
- ^ JVNDB. 「radareのradare2における複数の脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022714.html, (参照 26-07-10).
- ^ radare2. 「radare2 Security Advisories」. https://github.com/radareorg/radare2/security/advisories, (参照 26-07-10).
※本記事は一次情報(JVNDB・ベンダ公式)を基に編集しています。内容はAIで確認していますが、誤りや最新情報との差異がある場合はコメントよりご報告ください。
※上記コンテンツの内容やソースコードはAIで確認・デバッグしておりますが、間違いやエラー、脆弱性などがある場合は、コメントよりご報告いただけますと幸いです。
ITやプログラミングに関するコラム
【Git】remote設定を変更する方法
【VBA】コメントアウトを設定する方法
マークダウンで改行する方法
【CSS】notで複数の件を除外する方法
x86とx64の違いを分かりやすく解説
GitLabとGitHubの違いを解説
パソコンのメモリの目安を用途別に選ぶ方法
Linuxで環境変数を確認する方法
CapsLockキーを解除する方法
UbuntuのIPアドレスを確認する方法
ITやプログラミングに関するニュース
Apache Camelに深刻度Criticalを含む17件の脆弱性が公表、修正版への更新で対応が必要に
Hugoに5件の脆弱性が公表、修正版0.163.3への更新でまとめて対応可能に
Python Pillowに5件の脆弱性が公表、修正版12.3.0への更新で対応可能に
radare2に4件の脆弱性が公表、修正版6.1.8への更新でまとめて対応可能に
vLLMに4件の脆弱性が公表、修正版0.24.0への更新で対応が可能に
Crawl4AIに3件の脆弱性が公表、修正版0.9.0への更新でまとめて対応が可能に
Apache IoTDBに3件の脆弱性が公表、修正版2.0.8への更新で対応が必要に
pnpmにパストラバーサル脆弱性3件が公表、修正版への更新で対応が必要に
traefikに3件の脆弱性が公表、修正版への更新で対応が必要に
GitHub Copilotがリポジトリ概要機能を一般提供、初めて開くリポジトリの目的や使用技術を即把握
