検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-23046

critical Nessus プラグイン ID 297936

Language:

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

 - virtio_netdevm_kzalloc/devm_kfree でのデバイスの不一致を修正します。初期の rss_hdr 割り当てでは virtio_device->device を使用しますが、virtnet_set_queues() では net_device->device を使用して解放します。このデバイスの不一致により、以下の devres 警告が発生します [ 3788.514041] ------------[ここで編集]----------------------- [ 3788.514044] 警告
 drivers/base/devres.c:1095 at devm_kfree+0x84/0x98、 CPU#16vdpa/1463 3788.514054] モジュールのリンク
 octep_vdpa virtio_net virtio_vdpa [last unloaded: virtio_vdpa] [ 3788.514064] CPU: 16 UID: 0 PID: 1463 通信: vdpa 汚染: GW 6.18.0 #10 PREEMPT [ 3788.514067] 汚染: [W]=WARN [ 3788.514069] ハードウェア名:
 Marvell CN106XX ボードDT[ 3788.514071] pstate63400009nZCv daif +PAN -UAO +TCO +DIT -SSBS BTYPE=--[ 3788.514074] pc : devm_kfree+0x84/0x98 [ 3788.514076] lr : devm_kfree+ 0x54/0x98 [ 3788.514079] sp
 ffff800084e2f220 [ 3788.514080] x29: ffff800084e2f220 x28: ffff0003b2366000 x27: 000000000000003f [3788.514085] x26: 000000000000003f x25: ffff000106f17c10 x24: 0000000000000080 [ 3788.514089] x23:
 ffff00045bb8ab08 x22: ffff00045bb8a000 x21: 000000000000018 3788.514093] x20: ffff0004355c3080 x19:
 ffff00045bb8aa00 x18: 0000000000080000 [ 3788.514098] x17: 000000000000040 x16: 00000000000001f x15:
 000000000007ffff 3788.514102] x14: 0000000000000488 x13: 000000000000005 x12: 0000000000fffff3788.514106x10: 3788.5141100000000008000000000000000000000000000000000000000000000000000000000000000000000000000000
 ffff800084e2eeb8 x7 : 000000000000000 x6 : 000000000000003f 3788.514115] x5 : ffff8000831bafe0 x4 :
 ffff800080c8b010 x3 ffff0004355c3080 [ 3788.514119] x2 ffff0004355c3080 x1 0000000000000000 x0
 000000000000000 [ 3788.514123] Call trace: [ 3788.514125] devm_kfree+0x84/0x98 (P) [ 3788.514129] virtnet_set_queues+0x134/0x2e8 [virtio_net] [ 3788.514135] virtnet_probe+0x9c0/0xe00 [virtio_net] [3788.514139virtio_dev_probe+ [] virtio_dev_probe+ 0x1e0/0x338 [ 3788.514144] true_probe+0xc8/0x3a0 [ 3788.514149]
 __driver_probe_device+0x84/0x170 [ 3788.514152] driver_probe_device+0x44/0x120 [ 3788.514155]
 __device_attach_driver+0xc4/0x168 [ 3788.514158] bus_for_each_drv+0x8c/0xf0 [ 3788.514161]
 __device_attach+0xa4/0x1c0 [ 3788.514164] device_initial_probe+0x1c/0x30 [ 3788.514168] bus_probe_device+0xb4/0xc0 [ 3788.514170] device_add+0x614/0x828 [ 3788.514173] register_virtio_device+0x214/0x1c/0x158 [ 3788.514175] virtio_vdpa_probe+0xa000000000000000 [virtio_vdpa] [3788.514179] vdpa_dev_probe+0xa8/0xd8 [ 3788.514183] true_probe+0xc8/0x3a0 [ 3788.514186]
 __driver_probe_device+0x84/0x170 [ 3788.514189] driver_probe_device+0x44/0x120 [ 3788.514192]
 __device_attach_driver+0xc4/0x168 [ 3788.514195] bus_for_each_drv+0x8c/0xf0 [ 3788.514197]
 __device_attach+0xa4/0x1c0 [ 3788.514200] device_initial_probe+0x1c/0x30 [ 3788.514203] bus_probe_device+0xb4/0xc0 [ 3788.514206] device_add+0x614/0x828 [ 3788.514209]
 _vdpa_register_device+0x58/0x88 [ 3788.514211] octep_vdpa_dev_add+0x104/0x228 [octep_vdpa] [ 3788.514215] vdpa_nl_cmd_dev_add_set_doit+0x2d0/0x3c0 [ 3788.514218] genl_family_rcv_msg_doit+0xe4/0x158 [ 3788.514222] genl_rcv_msg+0x218/0x298 [ 3788.514225] netlink_rcv_skb+ 0x64/0x138 [ 3788.514229] genl_rcv+0x40/0x60 [3788.514233] netlink_unicast+0x32c/0x3b0 [ 3788.514237] netlink_sendmsg+0x170/0x3b8 [ 3788.514241]
 __sys_sendto+0x12c/0x1c0 [ 3788.514246] __arm64_sys_sendto+0x30/0x48 [ 3788.514249] invoke_syscall.constprop.0+0x58/0xf8 [ 3788.514255] do_el0_svc+0x48/0xd0 [ 3788.514259] el0_sendto+0x48/0x2100 [ 3788.514264] el0_sendto+0x48/0x2100[ _syncer] +0xa0/0xe8 [ 3788.514268] el0t_64_sync+0x198/0x1a0 [ 3788.514271] ---[end trace 000000000000000 ]--- 割り当てと割り当て解除に virtio_device->device を一貫して使用することで修正しますCVE-2026-23046]

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://security-tracker.debian.org/tracker/CVE-2026-23046

プラグインの詳細

深刻度: Critical

ID: 297936

ファイル名: unpatched_CVE_2026_23046.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2026/2/4

更新日: 2026/2/4

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2026-23046

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:U/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:linux, cpe:/o:debian:debian_linux:14.0

必要な KB アイテム: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2026/2/4

参照情報

CVE: CVE-2026-23046