Ubuntu 22.04 LTS / 24.04 LTS / 25.10 / 26.04 LTS : Unbound の脆弱性 (USN-8282-1)
critical Nessus プラグイン ID 316076
Language:
概要
リモートの Ubuntu ホストに適用されていないセキュリティ更新が 1 つ以上あります。説明
リモートの Ubuntu 22.04 LTS / 24.04 LTS / 25.10 / 26.04 LTS ホストには、USN-8282-1 アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。Andrew Griffiths 氏は、Unbound が特定の DNSCrypt パケットを適切に処理していないことを発見しました。リモートの攻撃者がこの問題を悪用して Unbound をクラッシュさせ、サービス拒否を引き起こす可能性があります。
(CVE-2026-32792)
Qifan Zhang 氏は、特定の状況で Unbound が DNSSEC 検証を不適切に処理することを発見しました。リモートの攻撃者がこの問題を悪用して、任意のコードを実行する可能性があります。この問題は、Ubuntu 24.04 LTS、Ubuntu 25.10 LTS、および Ubuntu 26.04 LTS にのみ影響を与えます。(CVE-2026-33278)
Qifan Zhang 氏は、Unbound が特定のゴーストドメイン名レコードを不適切に処理することを発見しました。リモートの攻撃者がこの問題を悪用し、サービス拒否を引き起こす可能性があります。この問題は、Ubuntu 24.04 LTS、Ubuntu 25.10 LTS、および Ubuntu 26.04 LTS にのみ影響を与えます。(CVE-2026-40622)
Qifan Zhang 氏は、Unbound が長い EDNS オプションリストの処理を適切に制限していないことを発見しました。リモートの攻撃者がこの問題を悪用して Unbound にリソースを過剰に利用させ、サービス拒否を引き起こす可能性があります。(CVE-2026-41292)
Qifan Zhang 氏は、Unbound が特定の状況下で jostle ロジックを不適切に処理していることを発見しました。リモートの攻撃者がこの問題を悪用して Unbound にリソースを過剰に利用させ、サービス拒否を引き起こす可能性があります。(CVE-2026-42534)
Qifan Zhang 氏は、Unbound が NSEC3 ハッシュ計算を適切にバインドしていないことを発見しました。リモートの攻撃者がこの問題を悪用して Unbound にリソースを過剰に利用させ、サービス拒否を引き起こす可能性があります。
(CVE-2026-42923)
Qifan Zhang 氏は、特定の状況で Unbound が複数の EDNS オプションを不適切に処理することを発見しました。リモートの攻撃者がこの問題を悪用して Unbound をクラッシュさせ、サービス拒否を引き起こしたり、任意のコードを実行したりする可能性があります。この問題は、Ubuntu 24.04 LTS、Ubuntu 25.10 LTS および Ubuntu 26.04 LTS にのみ影響を与えます。
(CVE-2026-42944)
Qifan Zhang 氏は、Unbound が悪意のあるコンテンツの DNSSEC 検証を不適切に処理することを発見しました。リモートの攻撃者がこの問題を悪用して Unbound をクラッシュさせ、サービス拒否を引き起こす可能性があります。
(CVE-2026-42959)
TaoFei Guo、Yang Luo、JianJun Chen の各氏は、特定の状況で Unbound が委譲処理を不適切に処理することを発見しました。リモートの攻撃者がこの問題を悪用して、DNS キャッシュを汚染して秘密情報を取得する可能性があります。(CVE-2026-42960)
Qifan Zhang 氏は、Unbound が特定の状況で名前圧縮を適切にバインドしていないことを発見しました。リモートの攻撃者がこの問題を悪用して Unbound にリソースを過剰に利用させ、サービス拒否を引き起こす可能性があります。(CVE-2026-44390)
Qifan Zhang 氏は、Unbound に RPZ 処理のメモリ解放後使用 (use-after-free) の問題があることを発見しました。リモートの攻撃者がこの問題を悪用して Unbound をクラッシュさせ、サービス拒否を引き起こしたり、任意のコードを実行したりする可能性があります。この問題は、Ubuntu 24.04 LTS、Ubuntu 25.10 LTS、および Ubuntu 26.04 LTS にのみ影響を与えます。(CVE-2026-44608)
Tenable は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 316076
ファイル名: ubuntu_USN-8282-1.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2026/5/21
更新日: 2026/5/21
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2026-33278
CVSS v3
リスクファクター: Critical
基本値: 10
現状値: 8.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2026-42960
CVSS v4
リスクファクター: Critical
Base Score: 10
Threat Score: 9.1
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
脆弱性情報
CPE: p-cpe:/a:canonical:ubuntu_linux:unbound, p-cpe:/a:canonical:ubuntu_linux:libunbound8, p-cpe:/a:canonical:ubuntu_linux:libunbound-dev, p-cpe:/a:canonical:ubuntu_linux:python3-unbound, p-cpe:/a:canonical:ubuntu_linux:unbound-anchor, p-cpe:/a:canonical:ubuntu_linux:unbound-host, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:canonical:ubuntu_linux:26.04:-:lts
必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/5/20
脆弱性公開日: 2026/5/20
参照情報
CVE: CVE-2026-32792, CVE-2026-33278, CVE-2026-40622, CVE-2026-41292, CVE-2026-42534, CVE-2026-42923, CVE-2026-42944, CVE-2026-42959, CVE-2026-42960, CVE-2026-44390, CVE-2026-44608
USN: 8282-1