Debian dla-4491 : libglib2.0-0 - セキュリティ更新
low Nessus プラグイン ID 299773
Language:
概要
リモートの Debian ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。説明
リモートのDebian 11ホストには、dla-4491アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。-------------------------------------------------- ----------------------- Debian LTS アドバイザリ DLA-4491-1 [email protected] https://www.debian.org/lts/security/Andreas Henriksson 2026 年 2 月 23 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------
パッケージ glib2.0 バージョン2.66.8-1+deb11u8 CVE ID CVE-2026-0988 CVE-2026-1484 CVE-2026-1485 CVE-2026-1489 Debian バグ1125752 1126549 1126550 1126551
汎用のポータブルユーティリティライブラリである GLib で複数の問題が見つかりました。これは、悪意をもって細工されたデータが処理された場合、サービス拒否、メモリ破損、または任意のコードの実行につながる可能性があります。
CVE-2026-0988
Codean Labs は、g_buffered_input_stream_peek() 関数のオフセットとカウントパラメーターの検証が欠落しており、長さ計算中に整数オーバーフローが発生する可能性があることを発見しました。特別に細工された値が提供された場合、このオーバーフローにより、不適切なサイズが memcpy() に渡され、バッファオーバーフローが発生します。これにより、アプリケーションがクラッシュし、サービス拒否DoSが発生する可能性があります。
CVE-2026-1484
Sovereign Tech Agency の Sovereign Tech Resilience プログラムに感謝の意を表します。非常に大きな入力データを処理する際に、GLib Base64 エンコーディングルーチンで見つかりました。長さ計算中に整数タイプが不適切に使用されるため、ライブラリがバッファ境界を間違って計算する可能性があります。
これにより、割り当てられたバッファ外のメモリ書き込みが発生する可能性があります。GLib を使用して信頼できないものまたは非常に大規模な Base64 入力を処理するアプリケーションが、クラッシュしたり、予期せぬ動作をする可能性があります。
CVE-2026-1485
Sovereign Tech Agency の Sovereign Tech Resilience プログラムに感謝の意を表します。treeplus は、Glib のコンテンツタイプ解析ロジックに欠陥を発見しました。
このバッファアンダーフローの脆弱性は、ヘッダー行の長さが符号付き整数で保存されるために発生し、非常に大きな入力には整数のラップアラウンドが発生する可能性があります。これは、ポインターアンダーフローおよび領域外メモリアクセスの原因になります。悪用するには、ローカルユーザーが特別に細工された treemagic ファイルをインストールまたは処理する必要があります。これにより、ローカルのサービス拒否またはアプリケーションの不安定性につながる可能性があります。
CVE-2026-1489
Sovereign Tech Agencyの Sovereign Tech Resilience プログラムに感謝の意を表する treeplus が、n GLib の欠陥を見つけました。Unicode ケース変換実装の整数オーバーフロー脆弱性により、メモリ破損が発生する可能性があります。特別に細工された非常に大きいUnicode文字列を処理することにより、攻撃者がアンダーサイズのメモリ割り当てをトリガーし、領域外書き込みを引き起こす可能性があります。これにより、文字列変換に GLib を利用するアプリケーションがクラッシュしたり、不安定になったりする可能性があります。
Debian 11 Bullseyeでは、これらの問題はバージョン2.66.8-1+deb11u8で修正されました。
お使いの glib2.0 パッケージをアップグレードすることを推奨します。
glib2.0 の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/glib2.0
Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 署名
Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
libglib2.0-0 パッケージをアップグレードしてください。参考資料
https://security-tracker.debian.org/tracker/source-package/glib2.0
https://security-tracker.debian.org/tracker/CVE-2026-0988
https://security-tracker.debian.org/tracker/CVE-2026-1484
https://security-tracker.debian.org/tracker/CVE-2026-1485
プラグインの詳細
深刻度: Low
ID: 299773
ファイル名: debian_DLA-4491.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2026/2/23
更新日: 2026/2/23
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.3
CVSS v2
リスクファクター: Medium
基本値: 6.4
現状値: 4.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P
CVSS スコアのソース: CVE-2026-1489
CVSS v3
リスクファクター: Low
基本値: 2.8
現状値: 2.5
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2026-1485
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:libglib2.0-doc, p-cpe:/a:debian:debian_linux:libglib2.0-data, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libglib2.0-dev, p-cpe:/a:debian:debian_linux:libglib2.0-udeb, p-cpe:/a:debian:debian_linux:libglib2.0-bin, p-cpe:/a:debian:debian_linux:libglib2.0-tests, p-cpe:/a:debian:debian_linux:libglib2.0-0, p-cpe:/a:debian:debian_linux:libglib2.0-dev-bin
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/2/23
脆弱性公開日: 2026/1/17
参照情報
CVE: CVE-2026-0988, CVE-2026-1484, CVE-2026-1485, CVE-2026-1489