Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - fsnotify特別なファイルの子プロセスにおける ACCESS/MODIFY イベントを生成しません。inotify/fanotify で、ファイルに対する読み取りアクセスのないユーザーがイベントにサブスクライブすることを許可しません例IN_ACCESS/IN_MODIFY。ただし、同じユーザーがサブスクリプションを行うことは可能です。ユーザーが親ディレクトリ例/devにアクセスできるとき、子のイベントをウォッチング。ファイルへの読み取りアクセス権はありませんが、その親ディレクトリへの読み取りアクセス権があるユーザーは、ファイルを stat し、atime/mtime の変更を介してアクセス/変更が行われたかどうかを確認できます。特殊なファイル (/dev/null など) の場合は、同じことができません。他のユーザーが特別なファイルを読み書きするとき、または utimensat() を介して atime/mtime を設定するときのみ、ユーザーは通常 atime/mtime の変更を確認しません。fsnotify イベントをこの stat 動作と合わせて調整し、特殊なファイルの読み取り/書き込み時に ACCESS/MODIFY イベントを親ウォッチャーに対して生成しないようにします。これらのイベントは、utimensat() の親ウォッチャーに対して引き続き生成されます。これは、情報漏洩に使用される可能性がある一部のサイドチャネルを閉じます [1]。 [1] https://snee.la/pdf/pubs/file-notification-attacks.pdfCVE-2025-68788]

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2025-68788

medium Nessus プラグイン ID 283646

バージョン 1.9