検出

Debian dsa-6232 : gir1.2-javascriptcoregtk-4.1 - セキュリティ更新

medium Nessus プラグイン ID 310721

Language:

概要

リモートの Debian ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 13 ホストには、dsa-6232 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - ------------------------------------------------------------------------- Debian セキュリティアドバイザリ DSA-6232-1 [email protected] https://www.debian.org/security/Alberto Garcia 2026 年 4 月 28 日 https://www.debian.org/security/faq
 - -------------------------------------------------------------------------

 パッケージ: webkit2gtk CVE ID: CVE-2025-46299 CVE-2026-20643 CVE-2026-20664 CVE-2026-20665 CVE-2026-20691 CVE-2026-28857 CVE-2026-28859 CVE-2026-28861 CVE-2026-28871

 WebKitGTK ウェブエンジンに次の脆弱性が発見されました。

 CVE-2025-46299

 Google Big Sleep 氏は、悪意を持って細工されたウェブコンテンツを処理すると、アプリの内部状態が漏洩する可能性があることを発見しました。

 CVE-2026-20643

 Thomas Espach 氏は、悪意を持って細工されたウェブコンテンツを処理すると、同一生成元ポリシーがバイパスされる可能性があることを発見しました。

 CVE-2026-20664

 Daniel Rhea 氏、Soehnke Benedikt Fischedick 氏、Emrovsky & Switch 氏、Yevhen Pervushyn 氏は、悪意をもって細工されたウェブコンテンツを処理することで、予期しないプロセスクラッシュが発生する可能性があることを発見しました。

 CVE-2026-20665

 webb 氏は、悪意を持って細工されたウェブコンテンツを処理することで、コンテンツセキュリティポリシー (CSP) の実施が妨げられる可能性があることを発見しました。

 CVE-2026-20691

 Gongyu Ma 氏は、悪意を持って細工されたウェブページにより、ユーザーの指紋が取得される可能性があることを発見しました。

 CVE-2026-28857

 Narcis Oliveras Fontas 氏、Soehnke Benedikt Fischedick 氏、Daniel Rhea 氏、Nathaniel Oh 氏は、悪意をもって細工されたウェブコンテンツを処理することで、予期しないプロセスクラッシュが発生する可能性があることを発見しました。

 CVE-2026-28859

 greenbynox 氏、Arni Hardarson 氏は、悪意のあるウェブサイトがサンドボックス外で制限されたウェブコンテンツを処理できる可能性があることを発見しました。

 CVE-2026-28861

 Hongze Wu 氏、Shuaike Dong 氏は、悪意のあるウェブサイトが他の生成元用のスクリプトメッセージハンドラーにアクセスできる可能性があることを発見しました。

 CVE-2026-28871

 @hamyanamayan 氏は、悪意をもって細工されたウェブサイトにアクセスすると、クロスサイトスクリプティング攻撃につながる可能性があることを発見しました。

 バージョン 2.52.0 以降、WebKitGTK は旧安定版ディストリビューション (bookworm) にバックポートできなくなりました。そのため、webkit2gtk パッケージは bookworm のセキュリティサポートの対象にはなりません。

 安定版 (stable) ディストリビューション (trixie) では、これらの問題はバージョン 2.52.1-1~deb13u1 で修正されています。

 お使いの webkit2gtk パッケージをアップグレードすることをお勧めします。

 webkit2gtk の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください。
 https://security-tracker.debian.org/tracker/webkit2gtk

 Debian セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://www.debian.org/security/

 メーリングリスト: [email protected]

前述の説明ブロックは、Tenable が Debian セキュリティアドバイザリから直接抽出したものです。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

gir1.2-javascriptcoregtk-4.1 パッケージをアップグレードしてください。

参考資料

https://security-tracker.debian.org/tracker/source-package/webkit2gtk

https://security-tracker.debian.org/tracker/CVE-2025-46299

https://security-tracker.debian.org/tracker/CVE-2026-20643

https://security-tracker.debian.org/tracker/CVE-2026-20664

https://security-tracker.debian.org/tracker/CVE-2026-20665

https://security-tracker.debian.org/tracker/CVE-2026-20691

https://security-tracker.debian.org/tracker/CVE-2026-28857

https://security-tracker.debian.org/tracker/CVE-2026-28859

https://security-tracker.debian.org/tracker/CVE-2026-28861

https://security-tracker.debian.org/tracker/CVE-2026-28871

https://packages.debian.org/source/trixie/webkit2gtk

プラグインの詳細

深刻度: Medium

ID: 310721

ファイル名: debian_DSA-6232.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/4/28

更新日: 2026/4/28

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.0

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-28859

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2026-20665

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:libwebkit2gtk-4.0-doc, p-cpe:/a:debian:debian_linux:webkit2gtk-driver, p-cpe:/a:debian:debian_linux:gir1.2-webkit-6.0, p-cpe:/a:debian:debian_linux:gir1.2-webkit2-4.1, p-cpe:/a:debian:debian_linux:libjavascriptcoregtk-6.0-1, p-cpe:/a:debian:debian_linux:libwebkitgtk-doc, p-cpe:/a:debian:debian_linux:libjavascriptcoregtk-4.0-bin, p-cpe:/a:debian:debian_linux:gir1.2-javascriptcoregtk-4.1, p-cpe:/a:debian:debian_linux:gir1.2-javascriptcoregtk-6.0, p-cpe:/a:debian:debian_linux:libjavascriptcoregtk-4.1-0, p-cpe:/a:debian:debian_linux:libjavascriptcoregtk-4.1-dev, p-cpe:/a:debian:debian_linux:libjavascriptcoregtk-6.0-dev, p-cpe:/a:debian:debian_linux:libwebkit2gtk-4.1-0, p-cpe:/a:debian:debian_linux:libwebkit2gtk-4.1-dev, p-cpe:/a:debian:debian_linux:libwebkitgtk-6.0-4, p-cpe:/a:debian:debian_linux:libwebkitgtk-6.0-dev, cpe:/o:debian:debian_linux:13.0, p-cpe:/a:debian:debian_linux:libjavascriptcoregtk-bin, p-cpe:/a:debian:debian_linux:webkitgtk-webdriver

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/4/28

脆弱性公開日: 2025/12/15

参照情報

CVE: CVE-2025-46299, CVE-2026-20643, CVE-2026-20664, CVE-2026-20665, CVE-2026-20691, CVE-2026-28857, CVE-2026-28859, CVE-2026-28861, CVE-2026-28871