HPLIP脆弱性まとめ|Linux環境のHPプリンター利用者がいま当てるべき更新

HOMEリナックスマスター.JP 公式ブログLinux情報・技術・セキュリティ > HPLIP脆弱性まとめ|Linux環境のHPプリンター利用者がいま当てるべき更新
宮崎智広 この記事の監修:宮崎智広(Linux実務・教育歴20年以上・受講者3,100名超)
「Linux環境でHPプリンターを使っているけど、最近のHPLIPの脆弱性って自分のサーバーにも影響あるの?」
2026年5月20日、HP社がLinux向け印刷ソフトウェア「HPLIP(HP Linux Imaging and Printing)」の深刻な脆弱性2件を公表しました。CVSS 9.3の致命的な整数オーバーフローと、CVSS 8.5のコマンドインジェクションです。

この記事では、CVE-2026-8631/CVE-2026-8632の内容、影響範囲、修正方法、そしてLinuxサーバーで印刷機能を使う際の運用上の注意点を、20年以上のLinux運用経験から整理します。

この記事のポイント

・HPLIP 3.26.4未満のバージョンに権限昇格・任意コード実行の脆弱性が2件存在
・CVE-2026-8631(CVSS 9.3クリティカル)は整数オーバーフローによる権限昇格
・CVE-2026-8632(CVSS 8.5高)はコマンドインジェクションによる任意コード実行
・修正版はHPLIP 3.26.4以降。dnf/aptで早急に更新を実施する
・印刷機能が不要なサーバーはhplip・hplip-commonのパッケージごと無効化も検討


HPLIP脆弱性まとめ|Linux環境のHPプリンター利用者がいま当てるべき更新
「このままじゃマズい」と感じていませんか?
参考書を開く気力もない、同年代に取り残される不安——
でも安心してください。プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
図解60P/登録10秒/解除も3秒 / 詳細はこちら

HPLIPとは|Linuxにおける位置付け

HPLIP(HP Linux Imaging and Printing)は、HP社が公式提供しているLinux向けのプリンター・スキャナードライバ群です。主要なLinuxディストリビューションに標準的に同梱されており、多くの環境で意識されないまま動作しています。

HPLIPがインストールされる典型的なケースは次のとおりです。

デスクトップLinux:Ubuntu、Fedora、openSUSEなど。デフォルトで導入されることが多い
RHEL系サーバー:cups、cups-filtersとセットで導入されている場合がある
業務サーバー:印刷サーバー機能を提供している場合は明示的に有効化されている

重要なのは「使っていなくても入っている」ケースです。RHEL 8/9系のフルインストール、Ubuntu Desktop、Fedora Workstationなどは、何もしなくてもhplip関連パッケージが入っている前提で運用設計されています。

今回公表された脆弱性の詳細

HP社が2026年5月20日に公表した脆弱性は、以下の2件です。

項目 CVE-2026-8631 CVE-2026-8632
CVSSスコア 9.3(クリティカル) 8.5(高)
脆弱性タイプ 整数オーバーフロー コマンドインジェクション
引き金 細工された印刷データ処理時 低権限ユーザーからの実行
影響 権限昇格、任意コード実行 権限昇格、任意コード実行
対象バージョン 3.26.4未満 3.26.4未満
修正バージョン 3.26.4以降 3.26.4以降
公表日 2026年5月20日 2026年5月20日

1. CVE-2026-8631|整数オーバーフロー

細工された印刷データを処理する際、整数オーバーフローが発生する脆弱性です。攻撃者は、特殊なデータを印刷キューに投入することで、HPLIPプロセスの権限で任意コードを実行できる可能性があります。

CVSS 9.3はクリティカル評価で、Apacheなどミドルウェアの致命的脆弱性と同レベルの深刻度です。印刷サーバーを公開している環境、複数ユーザーが使う共有環境では、優先的にパッチ適用が必要です。

2. CVE-2026-8632|コマンドインジェクション

低権限ユーザーが必要となるものの、権限昇格や任意コード実行が可能となるコマンドインジェクションの脆弱性です。CVSS 8.5は「高」評価で、こちらも放置できないレベルです。

コマンドインジェクションは、HPLIPがユーザー入力を適切にエスケープせずシェル経由で処理している箇所が存在することを意味します。ローカルログインできるユーザー、あるいはWeb管理画面経由でHPLIPを操作できる経路がある場合、root権限を取られるリスクが現実的です。


HPLIP脆弱性まとめ|Linux環境のHPプリンター利用者がいま当てるべき更新 - 解説1

影響範囲の確認方法

自分のLinux環境がこの脆弱性の影響を受けるかどうかは、コマンドラインから確認できます。

1. RHEL / Rocky Linux / AlmaLinux系


# HPLIPがインストールされているか確認
rpm -qa | grep hplip

# バージョン確認
rpm -q hplip
# 出力例: hplip-3.21.12-13.el9.x86_64

# プロセスの実行状況確認
systemctl status hplip
ps aux | grep hplip | grep -v grep

2. Ubuntu / Debian系


# HPLIPがインストールされているか確認
dpkg -l | grep hplip

# バージョン確認
hp-info -v 2>/dev/null | head -5
apt-cache policy hplip
HPLIPがインストールされていなければ、この脆弱性の影響は受けません。インストールされていて、かつバージョンが3.26.4未満の場合は、速やかに更新を行います。

修正手順|パッケージ更新の実施

ディストリビューションごとに、適切な更新手順を実行します。

1. RHEL / Rocky Linux / AlmaLinux系


# 更新可能なパッケージを確認
sudo dnf check-update hplip

# 個別パッケージのみ更新
sudo dnf update hplip hplip-common hplip-libs -y

# 関連サービスの再起動
sudo systemctl restart cups

2. Ubuntu / Debian系


# パッケージリスト更新
sudo apt update

# HPLIP関連のみ更新
sudo apt install --only-upgrade hplip hplip-data hplip-doc

# サービス再起動
sudo systemctl restart cups
ディストリビューションのリポジトリに3.26.4以降が反映されるまで、若干のタイムラグが発生する場合があります。リポジトリにまだ修正版が来ていない場合は、HP公式サイトからのソース版インストールも選択肢ですが、サポート性を考えるとディストリ標準パッケージの待機を推奨します。


HPLIP脆弱性まとめ|Linux環境のHPプリンター利用者がいま当てるべき更新 - 解説2

不要なら無効化|「使っていない」のがいちばん安全

20年以上Linuxサーバーを運用してきた経験から言うと、「使っていないサービス・パッケージは外す」のが、もっとも確実な脆弱性対策です。

1. HPプリンターを使っていないサーバーの判断

以下に該当する場合、HPLIPは不要です。

・印刷機能を持たないバックエンドサーバー(Web、DB、APIなど)
・印刷していてもHP製プリンターではない(Canon、Brother、Epsonなど)
・印刷はWindowsクライアント側で完結し、Linux側からは送らない

2. HPLIPの安全な無効化手順


# 関連サービスの停止
sudo systemctl stop hplip
sudo systemctl disable hplip

# パッケージの削除(RHEL系)
sudo dnf remove hplip hplip-common hplip-libs

# パッケージの削除(Ubuntu系)
sudo apt purge hplip hplip-data hplip-doc

# 不要な依存パッケージの整理
sudo dnf autoremove   # RHEL系
sudo apt autoremove   # Ubuntu系
cupsそのものは他のプリンターでも使うため、cups本体は残しておく判断もアリです。HPLIPだけ抜いても、Canon・Brother系の印刷は影響を受けません。


HPLIP脆弱性まとめ|Linux環境のHPプリンター利用者がいま当てるべき更新 - 解説3

運用上の教訓|「気付かないうちに入っているもの」を棚卸しする

今回のHPLIP脆弱性は、「使っていないのにインストールされているパッケージ」が抱えるリスクを再認識させる事例です。セミナーで3,100名以上を指導してきた中で、運用現場でよく見るパターンを共有します。

OS標準同梱の罠:RHEL/Ubuntuのフルインストールで自動導入される非必須パッケージが、忘れた頃に脆弱性ニュースに登場する
最小インストールの徹底:本番サーバーは「minimal install」+必要パッケージ追加方式が原則
定期棚卸し:rpm -qadpkg -l の出力を年1回でも見直し、用途不明のパッケージを削除する

参考書籍|Linuxセキュリティ運用の基本を体系的に学ぶ

※本セクションには広告(PR)リンクを含みます

こうしたパッチ運用・パッケージ管理を体系的に学ぶには、Linuxの基本書が役立ちます。CVE対応・脆弱性管理の現場感覚を身につけたい方におすすめです。

Linux教科書 LPICレベル1 Version5.0対応(翔泳社):パッケージ管理・サービス管理の基本を網羅
標準テキスト CentOS 8 構築・運用・管理パーフェクトガイド:dnf/yum運用の実務的ノウハウが詳細


HPLIP脆弱性まとめ|Linux環境のHPプリンター利用者がいま当てるべき更新 - まとめ

本記事のまとめ

対応事項 具体的なアクション
影響確認 rpm -q hplip または dpkg -l | grep hplip で確認
修正版 HPLIP 3.26.4以降に更新
更新コマンド(RHEL系) sudo dnf update hplip hplip-common hplip-libs
更新コマンド(Ubuntu系) sudo apt install --only-upgrade hplip hplip-data
不要なら削除 sudo dnf remove hplip または sudo apt purge hplip
CVE-2026-8631 CVSS 9.3クリティカル/整数オーバーフロー
CVE-2026-8632 CVSS 8.5高/コマンドインジェクション

公表されたばかりの脆弱性ですが、デスクトップLinux環境を含めると影響範囲は広めです。サーバー側の更新と同時に、開発者・運用担当者の個人端末(Ubuntu Desktop、Fedora Workstation)の更新も忘れずに行いましょう。

関連記事

無料メルマガで学習を続ける

Linuxの実践スキルをメールで毎週お届け。
登録は1分、解除もいつでも可。

登録無料・いつでも解除できます

暗記不要・1時間後にはサーバーが動く

3,100名以上が実践した「型」を無料で公開中

プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
その「型」を図解60Pにまとめた入門マニュアルを、完全無料でプレゼントしています。

登録10秒/合わなければ解除3秒 / 詳細はこちら

Linux無料マニュアル(図解60P) 名前とメールで30秒登録
宮崎 智広

この記事を書いた人

宮崎 智広(みやざき ともひろ)

株式会社イーネットマーキュリー代表。現役のLinuxサーバー管理者として20年以上の実務経験を持ち、これまでに累計3,100名以上のエンジニアを指導してきたLinux教育のプロフェッショナル。「現場で本当に使える技術」を体系的に伝えることをモットーに、実践型のLinuxセミナーの開催や無料マニュアルの配布を通じてLinux人材の育成に取り組んでいる。

趣味は、キャンプにカメラ、トラウト釣り。好きな食べ物は、ラーメンにお酒。休肝日が作れない、酒量を減らせないのが悩み。最近、ドラマ「フライトエンジェル」を観て涙腺が崩壊しました。

Linux無料マニュアル(図解60P) 名前とメールで30秒登録