Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - tar-rs は Rust 用の tar アーカイブ読み取り/書き込みライブラリです。バージョン 0.4.44 およびそれ以前では、tar アーカイブを解凍する際、tar crate の unpack_dir 関数は fs::metadata() を使用して、すでに存在するパスがディレクトリであるかどうかをチェックします。fs::metadata() はシンボリックリンクをたどるので、シンボリックリンクエントリとそれに続く同じ名前のディレクトリエントリを含む細工された tarball により、crate はシンボリックリンクターゲットを有効な既存のディレクトリとして扱い、その後 chmod を適用します。これにより、攻撃者は抽出ルートの外部で任意のディレクトリの権限を変更できます。この問題はバージョン 0.4.45で修正されています。(CVE-2026-33056)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-33056

medium Nessus プラグイン ID 303224

バージョン 1.2