検出

Linux Distros のパッチ未適用の脆弱性: CVE-2025-66168

high Nessus プラグイン ID 301143

Language:

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

 - 警告以前の 6.x リリースでは修正が行われていないため、 6.x のユーザーは 6.2.4 以降にアップグレードする必要があります。詳細については、以下を参照してください https://activemq.apache.org/security-advisories.data/CVE-2026-40046-announcement.txt https://www.cve.org/CVERecord?id=CVE-2026-40046 元のレポートApache ActiveMQ は、残りの長さフィールドを適切に検証していないため、無効な形式のパケットをデコードする際に、オーバーフローが発生する可能性があります。この整数オーバーフローが発生すると、ActiveMQ が合計 Remaining Length を不適切に計算し、その後ペイロードを複数の MQTT コントロールパケットとして誤って解釈する可能性があります。これにより、非準拠クライアントとのやり取りの際に、ブローカーが予期しない挙動に影響を受けやすくなります。この動作は、Remaining Lengthを最大4バイトに制限するMQTT v3.1.1仕様に違反しています。このシナリオは、認証プロセス後に確立された接続で発生します。
 mqtt トランスポートコネクタを有効にしていないブローカーは影響を受けません。この問題は、Apache ActiveMQ に影響を与えます 5.19.2より前の 、[ 6.0.0 、 6.1.8、および 6.2.0 ユーザーは、バージョン 5.19.2、 6.1.9、または 6.2.1にアップグレードすることをお勧めします。これにより、この問題が修正されます。CVE-2025-66168

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://security-tracker.debian.org/tracker/CVE-2025-66168

https://ubuntu.com/security/CVE-2025-66168

プラグインの詳細

深刻度: High

ID: 301143

ファイル名: unpatched_CVE_2025_66168.nasl

バージョン: 1.5

タイプ: Local

エージェント: unix

ファミリー: Misc.

公開日: 2026/3/6

更新日: 2026/4/14

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9

現状値: 7.7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-66168

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 8.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:U/RC:C

脆弱性情報

CPE: cpe:/o:debian:debian_linux:11.0, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:activemq, p-cpe:/a:debian:debian_linux:activemq, cpe:/o:debian:debian_linux:12.0, cpe:/o:debian:debian_linux:13.0

必要な KB アイテム: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2026/3/4

参照情報

CVE: CVE-2025-66168