Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - XRDPはオープンソースのRDPサーバーです。0.10.5までのバージョンでは、xrdpはClassic RDPセキュリティ層を使用する際に暗号化されたRDPパケットのメッセージ認証コード(MAC)署名の検証を実装していません。送信側は正しくシグネチャを生成しますが、受信ロジックには8バイトの整合性シグネチャを検証する必要な実装が欠けているため、静かに無視されがちです。中間者(MITM)能力を持つ未認証攻撃者は、この欠落したチェックを利用して、検出されずに暗号化されたトラフィックを改変できます。TLSセキュリティ層が適用される接続には影響しません。この問題はバージョン 0.10.6で修正されています。ユーザーがすぐにアップグレードできない場合は、TLSセキュリティ(security_layer=tls)を強制するようxrdp.iniを設定し、エンドツーエンドの整合性を確保しましょう。(CVE-2026-32105)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-32105

critical Nessus プラグイン ID 307453

バージョン 1.4