検出

Linux Distros のパッチ未適用の脆弱性: CVE-2022-31169

high Nessus プラグイン ID 248261

Language:

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

 - Wasmtime は、WebAssembly 用のスタンドアロンランタイムです。AArch64 ターゲット用の Wamtime のコードジェネレーター Cranelf にバグがあり、定数除算がランタイムで正しくない除算の結果を引き起こす可能性があります。これは、バージョン 0.38.2 より前の Wamtime および 0.85.2より前の Cranelf に影響を与えます。この問題の影響を受けるのは、AArch64 プラットフォームのみです。他のプラットフォームは影響を受けません。定数の変換ルールで、符号またはゼロ拡張が発生するかどうかを考慮していませんでした。これにより、除算が発生したときに不適切な値がレジスタに配置されます。このバグの影響は、WebAssemblyサンドボックス内で実行するプログラムがWebAssemblyの仕様にしたがって動作しないことです。これは、サンドボックス内での実行が修正され、WebAssembly プログラムが予期しない結果をもたらす可能性があることを意味します。これは、WebAssembly を実行するホストに影響を与えませんが、ゲストプログラムの正確性に影響を与えます。このバグは、Wasmtime バージョン 0.38.2 および clanelf-codegen 0.85.2でパッチされています。既知の回避策はありません。(CVE-2022-31169)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://ubuntu.com/security/CVE-2022-31169

プラグインの詳細

深刻度: High

ID: 248261

ファイル名: unpatched_CVE_2022_31169.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2025/8/11

更新日: 2025/8/11

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2022-31169

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:thunderbird, p-cpe:/a:canonical:ubuntu_linux:mozjs52, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:mozjs38, p-cpe:/a:canonical:ubuntu_linux:mozjs78, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:mozjs68, p-cpe:/a:canonical:ubuntu_linux:mozjs91, cpe:/o:canonical:ubuntu_linux:20.04:-:lts

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2022/7/21

参照情報

CVE: CVE-2022-31169