検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-23189

critical Nessus プラグイン ID 299111

Language:

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

 - cephceph_mds_auth_match() で NULL ポインターデリファレンスを修正します。CephFS カーネルクライアントには、6.18-rc1 から始まる回帰があります。fs_name == NULL の場合、ceph_mds_auth_match() に問題があります const char fs_name = mdsc->fsc->mount_options->mds_namespace; ... if (auth->match.fs_name && strcmp(auth->match.fs_name, fs_name)) { / fsname の不一致、次のものを試行 */ return 0; } Patrick Donnelly 氏は次のことを提案しましたつまり、MDSMap から「fs_name」のデコードを開始し、それに対して厳格な認証チェックを行う必要があります。
 注意「-o mds_namespace=foo」は、マウントするファイルシステムの選択以外には何も使用しないようにしてください。mds_namespace が指定されないことも可能ですが、カーネルは、名前が foo である可能性がある存在するファイルシステムのみをマウントします。このパッチは、推奨されているコンセプトをサポートすることを目的として、ceph_mdsmap_decode()とnamespace_equals()を作り替えます。struct ceph_mdsmap に、ceph_extract_encoded_string() によって抽出された FS 名のコピーを受け取る m_fs_name フィールドが含まれるようになりました。古い CephFS ファイルシステムの場合には、cephfs 名が使用されます。 [ idriomovceph_mdsmap_decode() で冗長な %*pE を %s で置換し、ceph_namespace_match() での一連の strlen() 呼び出しを取り除きます。namespace_equals() 本文に変更を加えて、空の mds_namespace を同等に処理しないようにします。ceph_mdsc_handle_fsmap に変更をドロップしますnamespace_equals() は同等の置換ではありませんCVE-2026-23189

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://security-tracker.debian.org/tracker/CVE-2026-23189

プラグインの詳細

深刻度: Critical

ID: 299111

ファイル名: unpatched_CVE_2026_23189.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

ファミリー: Misc.

公開日: 2026/2/14

更新日: 2026/2/14

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2026-23189

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:U/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:linux, cpe:/o:debian:debian_linux:14.0, cpe:/o:debian:debian_linux:13.0

必要な KB アイテム: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2026/2/14

参照情報

CVE: CVE-2026-23189