Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - HTSlib は、バイオインフォマティクスのファイルフォーマットの読み取りおよび書き込みを行うライブラリです。CRAM は、DNA シーケンスアライメントデータを格納する圧縮フォーマットです。ほとんどのアライメントレコードは DNA シーケンスと品質値を格納しますが、特定の場合にはこれらのデータを省略して容量を節約することもできます。CRAM フォーマットの特性により、これらのレコードは、実際には一度処理してから破棄する必要があるデータを格納するため、慎重に扱う必要があります。残念ながら、「cram_decode_seq()」は一部のケースでこれを正しく処理していませんでした。この問題が発生すると、ヒープ割り当ての末尾を越えて 1 バイトが読み取られ、その後、同じ位置に攻撃者が制御可能な 1 バイトが書き込まれる可能性があります。このバグを悪用すると、ヒープバッファオーバーフローが発生します。ユーザーがこの問題を悪用するように細工されたファイルを開くと、プログラムがクラッシュしたり、予期しない形でデータやヒープ構造が上書きされたりする可能性があります。これを悪用して、任意のコードが実行される可能性があります。バージョン 1.23.1、1.22.2 および 1.21.1 には、この問題の修正が含まれています。この問題に回避策はありません。(CVE-2026-31962)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-31962

high Nessus プラグイン ID 302967

バージョン 1.4