Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 問題のサマリー: QUIC プロトコルクライアントまたはサーバーで SSL_CIPHER_find() 関数を使用するアプリケーションが、ピアから不明な暗号スイートを受信すると、NULL デリファレンスが発生します。影響の概要: NULLポインターのデリファレンスにより、実行中のプロセスが異常に終了し、サービス拒否が引き起こされます。一部のアプリケーションは、ピアから受信した暗号 ID で client_hello_cb コールバックから SSL_CIPHER_find() を呼び出します。これがQUICプロトコルを実装するSSLオブジェクトで行われると、検査された暗号IDが不明であるかサポートされていない場合に、NULLポインターデリファレンスが発生します。QUIC プロトコルを使用するアプリケーションでこの関数を呼び出すことは一般的ではなく、最も深刻な結果としてサービス拒否が発生するため、この問題は重要度低として評価されました。QUIC プロトコルサポートが追加されることにより、脆弱なコードが 3.2 バージョンで導入されました。 3.6、 3.5、 3.4 、 3.3 の FIPS モジュールは、この問題による影響を受けません。これは、QUIC 実装が OpenSSL FIPS モジュール境界の外部にあるためです。OpenSSL 3.6、 3.5、 3.4 、 3.3 は、この問題に対して脆弱です。OpenSSL 3.0、 1.1.1 、および 1.0.2 は、この問題の影響を受けません。CVE-2025-15468

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2025-15468

medium Nessus プラグイン ID 296780

バージョン 1.4