Amazon Linux 2023:perl-Net-CIDR-Lite(ALAS2023-2026-1732)
medium Nessus プラグイン ID 316830
Language:
概要
リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。説明
したがって、ALAS2023-2026-1732 のアドバイザリに記載されている複数の脆弱性の影響を受けます。Perl 用の 0.24 より前の Net::CIDR::Lite バージョンは、IP アドレスと CIDR マスクの入力を適切に検証しません。これにより、IP ACL がバイパスされる可能性があります。
末尾の改行文字または非 ASCII 数字を含む入力はバリデーターを通過しますが、その後、パーサーによりスペル入力文字列とは異なるアドレスに再エンコードされます。その結果、find() および bin_find() がアドレスを一致させたり、見逃したりする可能性があります。
例 :
my $cidr = Net::CIDR::Lite->new();$cidr->add(::1\n/128);$cidr->find(::1a);# 誤って true を返す
CVE-2026-45191も参照してください。(CVE-2026-45190)
Perl 用の 0.24 より前の Net::CIDR::Lite バージョンは、CIDR マスク値に無関係なゼロ文字を適切に考慮しません。これにより、IP ACL がバイパスされる可能性があります。
/00 や /01 などのマスク形式は、検証を渡し、パディングされていない値と同じプレフィックスに解析します。
CVE-2026-45190も参照してください。(CVE-2026-45191)
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Run 'dnf update perl-Net-CIDR-Lite --releasever 2023.11.20260526' or or 'dnf update --advisory ALAS2023-2026-1732 --releasever 2023.11.20260526' to update your system.参考資料
https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1732.html
https://alas.aws.amazon.com/faqs.html
プラグインの詳細
深刻度: Medium
ID: 316830
ファイル名: al2023_ALAS2023-2026-1732.nasl
バージョン: 1.2
タイプ: Local
エージェント: unix
公開日: 2026/5/26
更新日: 2026/5/27
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.3
CVSS v2
リスクファクター: Medium
基本値: 6.4
現状値: 4.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P
CVSS スコアのソース: CVE-2026-45191
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:perl-net-cidr-lite
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/5/25
脆弱性公開日: 2026/5/10
参照情報
CVE: CVE-2026-45190, CVE-2026-45191