Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - rust-openssl は Rust プログラミング言語に対して OpenSSL バインディングを提供します。0.10.78 より前では、aes::unwrap_key() に不適切なアサーションが含まれています。out.len() + 8 <= in_.len() がチェックされますが、この状態は逆になります。意図される不変数は out.len() >= in_.len() - 8 であり、出力バッファが十分に大きいことが保証されます。反転チェックにより、関数は必要な最小サイズ以下のバッファのみを受け入れ、それより大きいサイズのバッファは拒否します。より小さいバッファが提供された場合、関数は in_.len() - 8 - out.len() バイトにより out の末尾を超えて書き込み、安全なパブリック関数からの領域外書き込みを引き起こします。
    この脆弱性は 0.10.78 で修正されました。(CVE-2026-41678)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-41678

critical Nessus プラグイン ID 310522

バージョン 1.2