Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - HTSlib は、bioinformatics ファイルフォーマットの読み取りおよび書き込みのためのライブラリです。CRAM は、DNA シーケンスアライメントデータを保存する圧縮フォーマットです。冗長データを削除する 1 つの方法として、CRAM は参照ベースの圧縮を使用するため、各アライメントレコードに完全なシーケンスを保存する代わりに、外部参照シーケンスの場所を、シーケンスとしての参照との違いのリストとともに保存します。発見しました。これらの機能をデコードするとき、CRAMレコードシーケンスの範囲を超えて表示されるCRAM機能のテストでのout-by-oneエラーにより、ヒープバッファの終端を超えて攻撃者が制御する1バイトの無効な書き込みが発生する可能性があります。このバグを悪用すると、ヒープバッファオーバーフローが発生します。ユーザーがこの問題を悪用するために細工されたファイルを開くと、プログラムがクラッシュしたり、プログラムが予期しない方法でデータやヒープ構造が上書きされたりする可能性があります。これを悪用して、任意のコードを取得する可能性があります。バージョン 1.23.1、 1.22.2 、 1.21.1 には、この問題の修正が含まれています。この問題の回避策はありません。CVE-2026-31963

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-31963

high Nessus プラグイン ID 302970

バージョン 1.2