検出

Golang 1.26.x < 1.26.1 の複数の脆弱性

medium Nessus プラグイン ID 301251

Language:

概要

リモートホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートホストで実行している Golang のバージョンは、1.26.1 より前です。したがって、アドバイザリに記載されている複数の脆弱性の影響を受けます。

 - 複数のメールアドレス制約完全なメールアドレスで構成される証明書を含む証明書チェーンを検証する場合、これらは共通のローカル部分「@」文字より前のアドレスの部分を共有するが、異なるドメイン部分最後の制約が考慮されます)。これにより、関連する制約によって許可されていないか除外されているメールアドレスを含むチェーン内の証明書を、Certificate.Verify への呼び出しによって返される可能性があります。名前制約チェックはチェーン構築の完了後に発生するため、これは、信頼できるルート (VerifyOptions.Roots またはシステムルート証明書プールのいずれかのルート証明書) にチェーンする証明書チェーンにのみ適用されます。どちらも含まれない証明書を発行するには、信頼できる CA が必要です。許可または除外されたメールアドレスを制御します。CVE-2026-27137

 - チェーン内の証明書に空の DNS 名があり、チェーン内の別の証明書が名前制限を除外している場合、証明書の検証がパニックになる可能性があります。これは、X.509 証明書チェーンを直接検証するプログラム、または TLS を使用するプログラムをクラッシュさせる可能性があります。名前制約チェックはチェーン構築の完了後に発生するため、これは、信頼できるルート (VerifyOptions.Roots またはシステムルート証明書プールのいずれかのルート証明書) にチェーンする証明書チェーンにのみ適用されます。無効な形式の DNS を含む証明書を発行するには、信頼できる CA が必要です。発見しました。CVE-2026-27138

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Golang Go バージョン 1.26.1 以降にアップグレードしてください。

参考資料

https://github.com/golang/go/issues/77952

https://github.com/golang/go/issues/77953

https://groups.google.com/g/golang-announce/c/EdhZqrQ98hk

プラグインの詳細

深刻度: Medium

ID: 301251

ファイル名: golang_1_26_1.nasl

バージョン: 1.1

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2026/3/6

更新日: 2026/3/6

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

CVSS スコアの根本的理由: Score based on an in-depth analysis by tenable.

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v3

リスクファクター: Medium

基本値: 5.9

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

脆弱性情報

CPE: cpe:/a:golang:go

必要な KB アイテム: installed_sw/Golang Go Programming Language

パッチ公開日: 2026/3/5

脆弱性公開日: 2026/2/26

参照情報

CVE: CVE-2026-27137, CVE-2026-27138