Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - cryptography は、Python 開発者向けに暗号のプリミティブとレシピを公開するために設計されたパッケージです。
     46.0.5より前では、public_key_from_numbersまたは EllipticCurvePublicNumbers.public_key()、EllipticCurvePublicNumbers.public_key()、load_der_public_key() および load_pem_public_key() 関数が、点が曲線の期待される素数サブグループに属していることを検証しません。この検証の欠如により、攻撃者は小数点のサブグループから公開鍵ポイント P を提供することができます。これは、最もよく使用される署名認証 (ECDSA) や共有鍵ネゴシエーション (ECDH) など、さまざまな状況でセキュリティ問題につながる可能性があります。被害者が ECDH を介して S = [victim_private_key]P として共有秘密を計算する場合、これにより、被害者_private_key mod に関する情報が漏洩しますsmall_subgroup_order。cofactor > 1 の曲線の場合、これは秘密鍵の最も重要でないビットを明らかにします。これらの弱い公開鍵が ECDSA で使用されるとき、小さなサブグループの署名を簡単に偽造することができます。SECT カーブのみがこの影響を受けます。この脆弱性は 46.0.5 で修正されました。(CVE-2026-26007)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-26007

high Nessus プラグイン ID 298585

バージョン 1.5