Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 不適切な入力検証の脆弱性。この問題は、次の Apache Tomcat に影響します。11.0.0-M1 から 11.0.14 まで、10.1.0-M1 から 10.1.49 まで、9.0.0-M1 から 9.0.112 まで。次のバージョンは CVE の作成時に EOL でしたが、影響を受けることが確認されています。8.5.0 から 8.5.100。古い EOL バージョンは影響を受けません。Tomcat は、SNI 拡張を通じて提供されたホスト名が HTTP ホストヘッダーフィールドで指定されたホスト名と一致するかどうかを検証しませんでした。Tomcat が複数の仮想ホストで構成され、そのうちの 1 つの TLS 設定でクライアント証明書認証を要求せず、別のホストでは要求する場合、クライアントは SNI 拡張と HTTP ホストヘッダーフィールドに異なるホスト名を送信することで、クライアント証明書認証をバイパスする可能性がありました。この脆弱性は、クライアント証明書認証がコネクタでのみ適用されている場合に限り影響します。ウェブアプリケーションでクライアント証明書認証が適用されている場合、この脆弱性は影響しません。ユーザーには、この問題を修正したバージョンである 11.0.15 以降、10.1.50 以降、または 9.0.113 以降へのアップグレードをお勧めします。(CVE-2025-66614)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2025-66614

critical Nessus プラグイン ID 299434

バージョン 1.6