Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 3.6.4 より前の Mbed TLS により、ドキュメントに従って開発されたアプリケーションの特定の状況で、use-after-free が発生する可能性があります。関数 mbedtls_x509_string_to_names() は、出力引数として文書化されている先頭引数をとります。ドキュメントでは、関数がそのポインターを解放することが推奨されていません。ただし、関数はその引数で mbedtls_asn1_free_named_data_list() を呼び出し、深い free() を実行します。その結果、この関数を使用するアプリケーションコードは、解放されたメモリブロックへのポインターをまだ保持する可能性があり、use-after-free または二重解放の高いリスクを引き起こします。特に、2 つのサンプルプログラム x509/cert_write および x509/cert_req が影響を受けますsan 文字列に複数の DN が含まれている場合は use-after-free。CVE-2025-47917

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2025-47917

critical Nessus プラグイン ID 244558

バージョン 1.2