Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - minimatch は、glob 式を JavaScript RegExp オブジェクトに変換するための最小マッチングユーティリティです。
    バージョン 10.2.0 以降では、グロブパターンに多数の連続した * ワイルドカードが含まれ、その後にテスト文字列に表示されないリテラル文字が続く場合に、正規表現のサービス拒否ReDoSに対して脆弱です。それぞれの * は、別の [^/]*? にコンパイルされます正規表現グループを定義し、マッチングが失敗した場合、V8 の正規表現エンジンはすべての可能な分割で急激にバックトラックします。時間複雑性は O(4^N) で、N は * 文字の数です。N=15 の場合、1 回の minimatch() の呼び出しにかかる時間は最大 2 秒です。N=34 では、事実上永久にハングします。ユーザー制御の文字列をパターン引数として minimatch() に渡すアプリケーションは、DoS に脆弱です。この問題はバージョン 10.2.1で修正されています。(CVE-2026-26996)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-26996

high Nessus プラグイン ID 299696

バージョン 1.17