Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - HTSlib は、bioinformatics ファイルフォーマットの読み取りおよび書き込みのためのライブラリです。CRAM は、DNA シーケンスアライメントデータを保存する圧縮フォーマットです。冗長データを削除する 1 つの方法として、CRAM は参照ベースの圧縮を使用するため、各アライメントレコードに完全なシーケンスを保存する代わりに、外部参照シーケンスの場所を、シーケンスとしての参照との違いのリストとともに保存します。発見しました。これらの機能をデコードするとき、CRAMレコードシーケンスの範囲を超えて表示されるCRAM機能のテストでのout-by-oneエラーにより、ヒープバッファの終端を超えて攻撃者が制御する1バイトの無効な書き込みが発生する可能性があります。このバグを悪用すると、ヒープバッファオーバーフローが発生します。ユーザーがこの問題を悪用するために細工されたファイルを開くと、プログラムがクラッシュしたり、プログラムが予期しない方法でデータやヒープ構造が上書きされたりする可能性があります。これを悪用して、任意のコードを取得する可能性があります。バージョン 1.23.1、 1.22.2 、 1.21.1 には、この問題の修正が含まれています。この問題の回避策はありません。CVE-2026-31963

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-31963

high Nessus プラグイン ID 302970

バージョン 1.3

バージョン 1.2

バージョン 1.1

バージョン 1.3 Mar 21, 2026, 9:15 AM CVSS metrics ("CVSSv2 score" set to 6.8) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P") CVSSv2 severity (based on CVE-2026-31963, severity decreased from "High" to "Medium") Detection (updated detection logic) Plugin metadata Plugin Feed: 202603210915
バージョン 1.2 Mar 20, 2026, 10:49 AM CVSS metrics ("CVSSv2 score" set to 9.4) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:C") CVSS metrics ("CVSSv3 score" set to 8.1) CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H") Plugin Feed: 202603201049
バージョン 1.1 Mar 19, 2026, 12:10 PM New Plugin Feed: 202603191210