Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - jq は、コマンドラインの JSON プロセッサです。2f09060afab23fe9390cce7cb860b10416e1bf5f より前のコミットでは、libjq の jv_parse_sized() API は、明示的な長さパラメーターを持つカウントされたバッファを受け入れますが、そのエラー処理パスが jv_string_fmt() の %s を使用して入力バッファをフォーマットし、NUL 終端子が見つかるまで読み込みます。発信者が指定した長さに従います。これは、無効な形式の JSON が NULL 終端化されていないバッファで渡されると、エラー構築ロジックがバッファの終端を超えた領域外読み取りを実行することを意味します。この脆弱性は、信頼できない入力で jv_parse_sized() を呼び出している任意の libjq コンシューマーにより到達可能であり、メモリレイアウトによっては、メモリ漏洩またはプロセスの停止を引き起こす可能性があります。この問題は、コミット 2f09060afab23fe9390cce7cb860b10416e1bf5f でパッチされています。CVE-2026-39979

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-39979

medium Nessus プラグイン ID 306424

バージョン 1.2