Linux Distros のパッチ未適用の脆弱性: CVE-2026-42501
medium Nessus プラグイン ID 313248
Language:
概要
Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。説明
Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。- 悪意のあるモジュールプロキシが go コマンドによるモジュールチェックサム検証の欠陥を悪用して、チェックサムデータベース検証をバイパスする可能性があります。この脆弱性は、信頼できないモジュールプロキシ(GOMODPROXY)またはチェックサムデータベース(GOSUMDB)を使用するすべてのユーザーに影響を与えます。悪意のあるモジュールプロキシが、Go ツールチェーンの変更されたバージョンを提供する可能性があります。現在インストールされているツールチェーンとは異なるバージョンの Go ツールチェーンを選択すると (GOTOOLCHAIN 環境変数、あるいはツールチェーンラインのある go.work または go.mod が原因)、go コマンドは、モジュールプロキシによって提供されたツールチェーンをダウンロードして実行します。悪意のあるモジュールプロキシが、このダウンロードされたツールチェーンのチェックサムデータベース検証をバイパスする可能性があります。この脆弱性はツールチェーンダウンロードのセキュリティに影響を与えるため、GOTOOLCHAIN を固定バージョンに設定するだけでは不十分です。基本のGoツールチェーンをアップグレードする必要があります。goツールは、ツールチェーンの実行前に常にツールチェーンのハッシュを検証するため、修正済みバージョンはツールチェーンのキャッシュまたは変更されたバージョンの実行を拒否します。goツールはgo.sumファイルを信頼し、現在のモジュールの依存関係の正確なハッシュが含まれています。この脆弱性を悪用して変更されたモジュールを提供する悪意のあるプロキシは、go.sum に不適切なハッシュが記録される原因となります。信頼できない GOPROXY を構成したユーザーは、rm go.sum の実行によって影響を受けたかどうかを判断できます。モッズを整えてください。go mod verify を実行し、現在のモジュールのすべての依存関係を再検証します。特定の欠陥の詳細:モジュールがgo.sumファイルにリストされていないとき、goコマンドはチェックサムデータベースを参照してダウンロードされたモジュールを検証します。チェックサムデータベースによって報告されたモジュールハッシュが、ダウンロードされたモジュールのハッシュと一致することを検証します。ただし、チェックサムデータベースがモジュールのエントリを含んでいない正常な応答を返す場合は、go コマンドが検証を誤って許可していました。モジュールプロキシはチェックサムデータベースをミラーまたはプロキシすることがありますが、その場合、goコマンドはチェックサムデータベースに直接接続しません。チェックサムデータベースによって報告されたチェックサムは暗号で署名されているため、悪意のあるプロキシは、報告されたモジュールのチェックサムを変更しません。ただし、空のチェックサム応答、または関連のないモジュールのチェックサム応答を返すプロキシにより、ダウンロードされたモジュールが検証されたかのようにgoコマンドが続行する可能性があります。
(CVE-2026-42501)
Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。
ソリューション
現時点で既知の解決策はありません。参考資料
プラグインの詳細
深刻度: Medium
ID: 313248
ファイル名: unpatched_CVE_2026_42501.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
ファミリー: Misc.
公開日: 2026/5/8
更新日: 2026/5/8
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 8.0
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:H/Au:S/C:C/I:P/A:C
CVSS スコアのソース: CVE-2026-42501
CVSS v3
リスクファクター: Medium
基本値: 6.2
現状値: 5.7
ベクトル: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:L
現状ベクトル: CVSS:3.0/E:U/RL:U/RC:C
脆弱性情報
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:golang-1.26, p-cpe:/a:debian:debian_linux:golang-1.15, p-cpe:/a:debian:debian_linux:golang-1.25, cpe:/o:debian:debian_linux:14.0, p-cpe:/a:debian:debian_linux:golang-1.19, p-cpe:/a:debian:debian_linux:golang-1.24, cpe:/o:debian:debian_linux:12.0, cpe:/o:debian:debian_linux:13.0
必要な KB アイテム: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
エクスプロイトの容易さ: No known exploits are available
脆弱性公開日: 2026/5/7
参照情報
CVE: CVE-2026-42501