Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - urllib3 は Python 用の HTTP クライアントライブラリです。 urllib3 のストリーミング API は、応答本体全体を一度にメモリにロードするのではなく、チャンクのコンテンツを読み取ることで、大きな HTTP 応答を効率的に処理するように設計されています。 urllib3 は、HTTP「Content-Encoding」ヘッダー例「gzip」、「deflate」、「br」、「zstd」に基づいてデコードまたは展開を実行できます。ストリーミング API を使用している場合、ライブラリは必要なバイトのみを展開し、部分的なコンテンツの消費が可能になります。バージョン 1.22 からバージョン 2.6.3より前のバージョン以降、HTTP リダイレクト応答に対して、ライブラリが応答本文全体を読み、接続をドレインし、コンテンツを不必要に展開します。この展開は、読み込みメソッドが呼び出される前でも発生し、構成された読み取り制限は展開されたデータ量を制限しませんでした。その結果、展開爆弾に対する保護がありませんでした。悪意のあるサーバーがこれを悪用して、クライアントで過剰なリソース消費を引き起こす可能性があります。アプリケーションとライブラリは、リダイレクトを無効にしていない場合に「preload_content=False」を設定することで信頼できないソースからコンテンツをストリームする際に影響を受けます。ユーザーは、「preload_content=False」時にライブラリがリダイレクト応答のコンテンツをデコードしない、少なくとも urllib3 v2.6.3 にアップグレードする必要があります。すぐにアップグレードできない場合は、信頼できないソースへのリクエストに対して「redirect=False」を設定してリダイレクトを無効にしてください。CVE-2026-21441

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-21441

high Nessus プラグイン ID 282456

バージョン 1.16