Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Sigstore Timestamp Authority は、RFC 3161 タイムスタンプを発行するサービスです。バージョン 2.0.5 およびそれ以前では、VerifyTimestampResponse 関数に承認バイパスの脆弱性が含まれています。
    VerifyTimestampResponse は証明書チェーン署名を正しく検証しますが、VerifyLeafCert の TSA 固有の制約チェックでは、検証されたチェーンからのリーフ証明書の代わりに、 PKCS#7 証明書バグからの最初の非 CA 証明書が使用されます。攻撃者が、メッセージが承認された鍵で署名されている間に、偽造の証明書を証明書バッグに渡すことでこれを悪用し、ライブラリにある証明書に対して署名を検証させ、別の証明書に対しては承認チェックを実行させる可能性があります。この脆弱性は、timestamp-authority/v2/pkg/verification パッケージのユーザーにのみ影響を与え、timestamp-authority サービス自体または sigstore-go には影響を与えません。この問題は、バージョン 2.0.6で修正されています。CVE-2026-39984

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-39984

medium Nessus プラグイン ID 306632

バージョン 1.4