Azure Linux 3.0 セキュリティ更新: CBL-Mariner Releases (CVE-2026-25645)

medium Nessus プラグイン ID 304402

Language:

概要

リモートの Azure Linux ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモート Azure Linux 3.0 ホストにインストールされている CBL-Mariner Releases のバージョンは、テスト済みバージョンより前です。したがって、CVE-2026-25645 のアドバイザリに記載されている脆弱性の影響を受けます。

- Requests は HTTP ライブラリです。バージョン 2.33.0より前のバージョンでは、「requests.utils.extract_zipped_paths()」ユーティリティ関数が、zip アーカイブからシステムの一時ディレクトリにファイルを抽出する際に、予測可能なファイル名を使用していました。ターゲットファイルが既に存在する場合、検証なしで再利用されます。一時ディレクトリへの書き込み権限を持つローカルの攻撃者が、正当なファイルの代わりに読み込まれる悪意のあるファイルを事前に作成する可能性があります。リクエストライブラリの標準的な使用率は、この脆弱性の影響を受けません。「extract_zipped_paths()」を直接呼び出すアプリケーションのみが影響を受けます。バージョン 2.33.0以降、このライブラリはファイルを非決定性の場所に抽出します。開発者がアップグレードできない場合、環境の「TMPDIR」を書き込みアクセス制限付きディレクトリに設定できます。CVE-2026-25645

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

プラグインの詳細

深刻度: Medium

ID: 304402

ファイル名: azure_linux_CVE-2026-25645.nasl

バージョン: 1.2

タイプ: Local

ファミリー: Azure Linux Local Security Checks

公開日: 2026/3/31

更新日: 2026/4/1

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 4.6

現状値: 3.4

ベクトル: CVSS2#AV:L/AC:L/Au:S/C:N/I:C/A:N

CVSS スコアのソース: CVE-2026-25645

CVSS v3

リスクファクター: Medium

基本値: 5.5

現状値: 4.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:microsoft:azure_linux:python-requests, x-cpe:/o:microsoft:azure_linux

必要な KB アイテム: Host/local_checks_enabled, Host/AzureLinux/release, Host/AzureLinux/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/3/10

脆弱性公開日: 2026/3/10

参照情報

CVE: CVE-2026-25645