Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Rack は、モジュール式の Ruby Web サーバーインターフェースです。バージョン 2.2.23、 3.1.21、 3.2.6より前では、Rack::Files#fail は String#bytesize の代わりに String#size を使って Content-Length 応答ヘッダーを設定します。応答本文にマルチバイト UTF-8 文字が含まれている場合、宣言された Content-Length が実際にネットワークで送信されるバイト数よりも小さくなります。Rack::Files は 404 応答のリクエストされたパスを反映するため、攻撃者はパーセントエンコードされた UTF-8 文字を含む存在しないパスをリクエストすることで、この不一致を発生させることができます。
    これにより、不適切な HTTP 応答フレーミングが発生し、不適切な Content-Length 値に依存するデプロイメントで応答の非同期が発生する可能性があります。この問題は、バージョン 2.2.23、 3.1.21、および 3.2.6でパッチされています。CVE-2026-34831

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-34831

medium Nessus プラグイン ID 304827

バージョン 1.8