Linux Distros のパッチ未適用の脆弱性: CVE-2025-13353
high Nessus プラグイン ID 277090
Language:
概要
Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。説明
Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。- gokey バージョン <0.2.0では、シード復号化ロジックに欠陥があり、キーシードの初期ベクトルおよび AES-GCM 認証タグのみからパスワードが間違って派生する可能性がありました。この問題は gokey バージョン 0.2.0で修正されました。これは重大な変更です。の修正により、シードファイルから派生したパスワード/秘密が無効になっています-s オプションを使用。入力シードファイルが同じである場合でも、バージョン 0.2.0 gokey は異なるシークレットを生成します。影響 この脆弱性は、シードファイルをエントロピー入力として使用して-sオプションを使用して生成された鍵/秘密に影響を与えます。-s オプションなしのマスターパスワードからのみ生成されたキー/シークレットは影響を受けません。シード自体の機密性も影響を受けませんシード自体を再生成する必要はありません。特定の影響には次が含まれます。
* シードファイルから生成された鍵/シークレットのエントロピーが低い場合がありますシード全体がキーの生成に使用されることが予想されていました240 バイトのエントロピー入力、脆弱なバージョンでは 28 バイトのみが使用されました * 悪意のあるエンティティがシードマスターパスワードを知ることなくシードファイルのみを所有する、特定のシードから生成されたすべてのパスワードを回復します。パッチコードロジックのバグは gokey バージョン 0.2.0 以降で修正されました。gokeyの決定性の高い性質により、すべてのシードエントロピーが現在使用されるため、修正されたバージョンではシードファイルを使用して異なるパスワード/秘密が生成されます。
システム秘密鍵のローテーションのガイダンスユーザーは、パッチを適用したバージョンの0.2.0 gokey以降を使用してパスワード/秘密を再生成し、古い秘密の代わりにこれらの秘密をそれぞれのシステムにプロビジョニング/ローテーションすることが推奨されます。特定のローテーション手順はシステムによって異なりますが、最も一般的なパターンを以下に記載します。ローテーションに古いパスワード/秘密を必要としないシステムこのような場合、ユーザーはこの機能を使用し、システムからの指示に応じて新しく生成されたパスワードを入力することが推奨されます。ローテーションに古いパスワード/シークレットが必要なシステム。このようなシステムでは通常、ユーザー設定セクションにモーダルパスワードローテーションウィンドウがあり、ユーザーは古いパスワードや新しいパスワードを確認付きで入力する必要があります。このような場合、ユーザーは古いパスワードを生成/復元できます * 各オペレーティングシステム用の gokey バージョン 0.1.3 https://github.com/cloudflare/gokey/releases/tag/v0.1.3 を一時的にダウンロードし、古いパスワードを復元します * gokey バージョン 0.2.0 以降を使用して新しいパスワードを生成します * 提供されたシステムに入力しますパスワードローテーション形式のシステムで、同じアカウントに複数の認証情報を設定できるようにします。このようなシステムでは通常、アクセス用の認証情報として秘密鍵または暗号化キーが必要です。ただし、複数の認証情報を同時に使用することもできます。ある例として SSH があります。特定のユーザーが、アクセス用の SSH サーバー上で設定された複数の認証された公開鍵を持っているとします。このようなシステムでは、ユーザーは次の手順を実行することが推奨されます* gokey バージョン 0.2.0 以降を使用して新しい秘密 / 鍵 / 認証情報を生成する * システム上の既存の認証情報に加えて、新しい秘密 / 鍵 / 認証情報をプロビジョニング * アクセスまたは必要なシステムが操作は新しい秘密/鍵/認証情報でまだ可能です * システムクレジットから既存/古い認証情報の承認を取り消します この脆弱性は Tho Cusnir 氏@mister_mime https://hackerone.com/mister_mime により発見され、責任を持って Cloudflare のバグ発見プログラムを通じて漏洩されました。CVE-2025-13353
Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。
ソリューション
現時点で既知の解決策はありません。参考資料
プラグインの詳細
深刻度: High
ID: 277090
ファイル名: unpatched_CVE_2025_13353.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: Misc.
公開日: 2025/12/3
更新日: 2026/1/2
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 4
現状値: 3.4
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N
CVSS スコアのソース: CVE-2025-13353
CVSS v3
リスクファクター: Medium
基本値: 5.5
現状値: 5.1
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:U/RC:C
CVSS v4
リスクファクター: High
Base Score: 7.1
Threat Score: 4
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H
脆弱性情報
CPE: cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:debian:debian_linux:11.0, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:debian:debian_linux:gokey, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:gokey, cpe:/o:debian:debian_linux:12.0, cpe:/o:debian:debian_linux:13.0
必要な KB アイテム: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
エクスプロイトの容易さ: No known exploits are available
脆弱性公開日: 2025/12/2
参照情報
CVE: CVE-2025-13353