Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - ngtcp2 は、IETF QUIC プロトコルの C 実装です。 1.22.1より前のバージョンでは、ngtcp2_qlog_parameters_set_transport_params() が、境界チェックなしで、ピア転送パラメーターを固定された 1024 バイトのスタックバッファにシリアル化します。qlog が有効な場合、リモートのピアは、QUIC ハンドシェイク中に十分に大きな転送パラメーターを送信できるため、バッファ境界を越えて書き込み、スタックバッファオーバーフローを招く可能性があります。これは、qlog コールバックを有効にし、信頼できないピア転送パラメーターを処理するデプロイメントに影響を与えます。この問題はバージョン 1.22.1で修正されています。開発者がすぐにアップグレードできない場合は、クライアントの qlog を無効にすることができます。CVE-2026-40170

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-40170

high Nessus プラグイン ID 307377

バージョン 1.7