Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Node.js TLS エラー処理の欠陥により、「pskCallback」または「ALPNCallback」が使用されているとき、リモートの攻撃者が TLS サーバーのリソースをクラッシュさせたり、枯渇させたりする可能性があります。これらのコールバック中にスローされる同期例外が、標準の TLS エラー処理パス (tlsClientError およびエラー) をバイパスします。これにより、プロセスが即座に終了するか、またはサイレントファイル記述子の漏洩が発生し、最終的にサービス拒否につながります。これらのコールバックはTLSハンドシェイク中に攻撃者が制御する入力を処理するため、リモートクライアントが繰り返し問題をトリガーする可能性があります。この脆弱性は、コールバックが安全にラップされずにスローされる Node.js のバージョン全体で PSK または ALPN コールバックを使用する TLS サーバーに影響を与えます。CVE-2026-21637

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-21637

high Nessus プラグイン ID 283716

バージョン 1.10