Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - OpenEXR は、動画業界向けの画像ストレージ形式である EXR ファイル形式の仕様と参照実装を提供します。 3.2.0 から 3.2.7、 3.3.9、 3.4.9より前の では、不適切にアラインされているメモリ書き込みの脆弱性が、src/lib/OpenEXRCore/internal_dwa_decoder.h:749 の LossyDctDecoder_execute() に存在します。
    FLOAT タイプのチャネルを含む DWA または DWAB で圧縮された EXR ファイルをデコードする場合、デコーダーは整列されていない uint8_t * 行ポインターを浮動 * へキャストし、それを通じて書き込むことで、インプレース HALFFLOAT 変換を実行します。行バッファは 4 バイトで整列されていない可能性があるため、これは C 標準で未定義の動作となり、アライメントを強制するアーキテクチャ (ARM、RISC-V など) で直ちにクラッシュします。x86 では、これはランタイムでサイレントに許容されていますが、整列されたアクセスを前提とするコンパイラの最適化により悪用可能なままです。この脆弱性は、3.2.7、3.3.9、3.4.9 で修正されています。(CVE-2026-34379)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-34379

high Nessus プラグイン ID 305083

バージョン 1.6