Amazon Linux 2 : nerdctl, --advisory ALAS2-2026-3265 (ALAS-2026-3265)

critical Nessus プラグイン ID 311219

Language:

概要

リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている nerdctl のバージョンは、2.2.2-1 より前です。したがって、ALAS2-2026-3265 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

ループ内の誘導変数に対する算術演算が、Go compiler (cmd/compile) のアンダーフローやオーバーフローに関して適切にチェックされていませんでした。その結果、コンパイラは実行時に無効なインデックスアクセスを許可し、影響を受ける Go バージョンでコンパイルされたプログラムにおいて、メモリ破損を引き起こす可能性がありました。(CVE-2026-27143)

Go compiler (cmd/compile) が、no-op インターフェース変換を不適切に処理し、重複しないメモリ移動に関する正しい決定を妨げ、影響を受ける Go バージョンでコンパイルされたプログラムにおいて、ランタイム時にメモリ破損を引き起こす可能性があります。(CVE-2026-27144)

チェーン構築中に、VerifyOptions.Intermediates に多数の中間証明書が渡されると、行われる作業量が正しく制限されず、サービス拒否が発生する可能性があります。これは、crypto/x509 の直接のユーザーおよび crypto/tls のユーザーの両方に影響します。(CVE-2026-32280)

ポリシーを使用する証明書チェーンの検証は、チェーン内の証明書に非常に多くのポリシーマッピングが含まれている場合、予想外に非効率的であり、サービス拒否を引き起こす可能性があります。これは、VerifyOptions.Roots CertPool 内の root CA によって発行される、またはシステム証明書プール内の root CA によって発行される、他の方法で信頼できる証明書チェーンの検証のみに影響します。(CVE-2026-32281)

Linux で、chmod 操作の進行中に Root.Chmod のターゲットがシンボリックリンクに置き換えられた場合、ターゲットが root の外部にある場合でも、Chmod がシンボリックリンクのターゲットで操作できます。
(CVE-2026-32282)

TLS 接続の一方の側が、単一のレコードでのハンドシェイク後に複数のキー更新メッセージを送信する場合、接続がデッドロックし、制御されないリソース消費が発生する可能性があります。これにより、サービス拒否が引き起こされる可能性があります。これは TLS 1.3 のみに影響します。(CVE-2026-32283)

tar.Reader は、古い GNU スパースマップフォーマットでエンコードされた多数のスパース領域を含む悪意のある細工されたアーカイブを読み取る際に、無制限の量のメモリを割り当てる可能性があります。(CVE-2026-32288)

JS テンプレートリテラルのテンプレートブランチの間でコンテキストが適切に追跡されなかったため、コンテンツが不適切にエスケープされた可能性がありました。これにより、JS テンプレートリテラル内のアクションが不適切にエスケープされ、XSS の脆弱性につながる可能性があります。(CVE-2026-32289)

Go JOSE は、JSON Web Encryption (JWE)、JSON Web Signature (JWS)、JSON Web Token (JWT) 標準のサポートを含む、Go の標準である Javascript Object Signing および Encryption の一連の実装を提供します。4.1.4 および 3.0.5 より前では、JSON Web Encryption (JWE) オブジェクトの復号化を行う際、alg フィールドがキーラッピングアルゴリズム (A128GCMKW、A192GCMKW、および A256GCMKW を除く、末尾が KW で終わるもの) を示しており、かつ encrypted_key フィールドが空の場合、パニックが発生します。key_wrap.go の cipher.KeyUnwrap() が encrypted_key の長さに基づいて、ゼロまたは負の長さのスライスを割り当てようとする際にパニックが発生します。このコードパスは、ParseEncrypted() / ParseEncryptedJSON() / ParseEncryptedCompact() から到達可能で、結果として生成されるオブジェクトで Decrypt() が続きます。解析関数は、受け入れられたキーアルゴリズムのリストを取得することに注意してください。受け入れられたキーアルゴリズムにキーラッピングアルゴリズムが含まれていない場合、解析は失敗し、アプリケーションは影響を受けません。このパニックは、16 バイト長さ未満の暗号文パラメーターで cipher.KeyUnwrap() を直接呼び出すことでも可能ですが、この関数を直接呼び出すことはあまりありません。パニックはサービス拒否につながる可能性があります。この脆弱性は、4.1.4 および 3.0.5 で修正されています。(CVE-2026-34986)

Sigstore Timestamp Authority は、RFC 3161 タイムスタンプを発行するサービスです。バージョン 2.0.5 以前では、VerifyTimestampResponse 関数に承認バイパスの脆弱性が含まれています。
VerifyTimestampResponse は証明書チェーン署名を正しく検証しますが、VerifyLeafCert の TSA 固有の制約チェックでは、検証されたチェーンからのリーフ証明書の代わりに、PKCS#7 証明書バグからの最初の非 CA 証明書が使用されます。攻撃者が、メッセージが承認された鍵で署名されている間に、偽造の証明書を証明書バッグに渡すことでこれを悪用し、ライブラリにある証明書に対して署名を検証させ、別の証明書に対しては承認チェックを実行させる可能性があります。この脆弱性は、timestamp-authority/v2/pkg/verification パッケージのユーザーにのみ影響を与え、timestamp-authority サービス自体または sigstore-go には影響を与えません。この問題はバージョン 2.0.6 で修正されています。(CVE-2026-39984)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。