Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - wolfcrypt/src/asn.c の DecodeObjectId() には、ヒープ領域外書き込みが発生する可能性のある箇所が 2 つ存在していました。
    1 つ目に、境界チェックが書き込み前に 1 つのスロットしか検証しないにもかかわらず、OID の 2 つの arc 値 (out[0] と out[1]) を書き込むため、outSz が 1 の場合に 2 バイトの領域外書き込みが発生する可能性があります。2 つ目に、複数の呼び出し元が要素数上限である MAX_OID_SZ (32) ではなく、sizeof(decOid) (64 ビット環境で 64 バイト) を渡しているため、関数が 33 個以上の arc を持つ細工された OID を受け入れてしまい、割り当てられたバッファの末尾を超えて書き込んでしまう可能性があります。
    (CVE-2026-5187)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-5187

low Nessus プラグイン ID 305890

バージョン 1.2