Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Incus はシステムコンテナであり、仮想マシンマネージャです。7.0.0より前のバージョンでは、OVNデータベース接続ロジックの破損したTLS検証ロジックにより、攻撃者のOVNデータベースへの接続が許可される可能性があります。OVNクライアントの実装はGo標準TLSサーバーの検証を無効にし、カスタムのピア証明書検証ロジックに置き換えます。その置換検証機能は、構成された CA 証明書の信頼を固定しません。代わりに、ハンドシェイク中にピアによって提供された証明書から検証ルートセットを構築するため、設定されたCAは解析されますが、最終的な検証決定のトラストアンカーとしては使用されません。これらのSSLデータベース接続パスを使用するOVN対応のデプロイメントでは、管理ネットワーク上のOVNエンドポイントを偽装または傍受できる攻撃者が、不正な自己署名証明書チェーンを提示する可能性があります。これにより、Incusはこの証明書を有効なものとして受け入れます。この問題は、OVNデータベース接続の意図されたCAベースの信頼モデルを無効にし、適切なネットワーク位置でアクティブな攻撃者によるエンドポイントのなりすましを許可します。この問題はバージョン 7.0.0 で修正されています。(CVE-2026-40243)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-40243

low Nessus プラグイン ID 311660

バージョン 1.5