Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - gokey バージョン <0.2.0では、シード復号化ロジックに欠陥があり、キーシードの初期ベクトルおよび AES-GCM 認証タグのみからパスワードが間違って派生する可能性がありました。この問題は gokey バージョン 0.2.0で修正されました。これは重大な変更です。の修正により、シードファイルから派生したパスワード/秘密が無効になっています-s オプションを使用。入力シードファイルが同じである場合でも、バージョン 0.2.0 gokey は異なるシークレットを生成します。影響 この脆弱性は、シードファイルをエントロピー入力として使用して-sオプションを使用して生成された鍵/秘密に影響を与えます。-s オプションなしのマスターパスワードからのみ生成されたキー/シークレットは影響を受けません。シード自体の機密性も影響を受けませんシード自体を再生成する必要はありません。特定の影響には次が含まれます。
    * シードファイルから生成された鍵/シークレットのエントロピーが低い場合がありますシード全体がキーの生成に使用されることが予想されていました240 バイトのエントロピー入力、脆弱なバージョンでは 28 バイトのみが使用されました * 悪意のあるエンティティがシードマスターパスワードを知ることなくシードファイルのみを所有する、特定のシードから生成されたすべてのパスワードを回復します。パッチコードロジックのバグは gokey バージョン 0.2.0 以降で修正されました。gokeyの決定性の高い性質により、すべてのシードエントロピーが現在使用されるため、修正されたバージョンではシードファイルを使用して異なるパスワード/秘密が生成されます。
    システム秘密鍵のローテーションのガイダンスユーザーは、パッチを適用したバージョンの0.2.0 gokey以降を使用してパスワード/秘密を再生成し、古い秘密の代わりにこれらの秘密をそれぞれのシステムにプロビジョニング/ローテーションすることが推奨されます。特定のローテーション手順はシステムによって異なりますが、最も一般的なパターンを以下に記載します。ローテーションに古いパスワード/秘密を必要としないシステムこのような場合、ユーザーはこの機能を使用し、システムからの指示に応じて新しく生成されたパスワードを入力することが推奨されます。ローテーションに古いパスワード/シークレットが必要なシステム。このようなシステムでは通常、ユーザー設定セクションにモーダルパスワードローテーションウィンドウがあり、ユーザーは古いパスワードや新しいパスワードを確認付きで入力する必要があります。このような場合、ユーザーは古いパスワードを生成/復元できます * 各オペレーティングシステム用の gokey バージョン 0.1.3 https://github.com/cloudflare/gokey/releases/tag/v0.1.3 を一時的にダウンロードし、古いパスワードを復元します * gokey バージョン 0.2.0 以降を使用して新しいパスワードを生成します * 提供されたシステムに入力しますパスワードローテーション形式のシステムで、同じアカウントに複数の認証情報を設定できるようにします。このようなシステムでは通常、アクセス用の認証情報として秘密鍵または暗号化キーが必要です。ただし、複数の認証情報を同時に使用することもできます。ある例として SSH があります。特定のユーザーが、アクセス用の SSH サーバー上で設定された複数の認証された公開鍵を持っているとします。このようなシステムでは、ユーザーは次の手順を実行することが推奨されます* gokey バージョン 0.2.0 以降を使用して新しい秘密 / 鍵 / 認証情報を生成する * システム上の既存の認証情報に加えて、新しい秘密 / 鍵 / 認証情報をプロビジョニング * アクセスまたは必要なシステムが操作は新しい秘密/鍵/認証情報でまだ可能です * システムクレジットから既存/古い認証情報の承認を取り消します この脆弱性は Tho Cusnir 氏@mister_mime https://hackerone.com/mister_mime により発見され、責任を持って Cloudflare のバグ発見プログラムを通じて漏洩されました。CVE-2025-13353

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2025-13353

high Nessus プラグイン ID 277090

バージョン 1.6