検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-46160

critical Nessus プラグイン ID 317605

Language:

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

 - btrfs:ディレクトリを削除する際に欠落した last_unlink_trans update を修正します。ディレクトリを削除する際に、その last_unlink_trans フィールドを更新していません。このため、削除後にディレクトリが fsync を行う場合に、ファイル記述子を保持しているために、ディレクトリが fsync を行わない場合に、不適切な fsync 動作が引き起こされる可能性があります。シナリオの例:
 mkdir /mnt/dir1 mkdir /mnt/dir1/dir2 mkdir /mnt/dir3 sync -f /mnt # ディレクトリに変更を加えて fsync。chmod 700 /mnt/dir1 xfs_io -c fsync /mnt/dir1 # dir1 を空になるように dir2 を dir1 から移動します。mv /mnt/dir1/dir2 /mnt/dir3/ /mnt/dir1 で fd を開きます パス /mnt/dir1 で rmdir(2) を呼び出します fsync fd <trigger power failure> ファイルシステムをマウントしようとすると、ログのリプレイは -EIO エラーで失敗し、dmesg/syslog には次のものがあります: [445771.626482] BTRFS 情報(デバイス dm-0): ファイルシステム 0368bbea-6c5e-44b5-b409-09abe496e650 の最初のマウント [445771.626486] BTRFS 情報(デバイス dm-0): crc32c チェックサムアルゴリズムを使用 [445771.627912] BTRFS 情報(デバイス dm-0): ツリーログ再生 [445771.628335] ページの開始:
 refcount:2 mapcount:0 mapping:0000000061443ddc index:0x1d00 pfn:0x7072a5 [445771.629453] memcg:ffff89f400351b00 [445771.629892] aops:btree_aops [btrfs] ino:1 [445771.630737] フラグ:
 0x17fffc00000402a(uptodate|lru|private|writeback|node=0|zone=2|lastcpupid=0x1ffff)[445771.632359] raw:
 017fffc00000402a ffffff47284d950c8 ffffff472907b7c08 ffff89f458e412b8 [445771.633713] raw: 0000000000001d00 ffff89f6c51d1a90 00000002ffffffff89f400351b00 [445771.635029] ページがダンプされました 理由:eb ページダンプ [445771.635825] BTRFS 重要度最高(デバイス dm-0):破損したリーフ:root=5 block=30408704 slot=10 ino=258、無効な NLINK:2 が dir に対して 1 以下を期待しています [445771.638088] BTRFS 情報(デバイス dm-0):リーフ 30408704 gen 10 合計 PTRS 17 空き領域 14878 所有者 5 [445771.638091] BTRFS 情報(デバイス dm-0): 参照 4 lock_owner 0 現在の 3581087 [445771.638094] アイテム 0 キー (256 INODE_ITEM 0) itemoff 16123 アイテムサイズ 160 [445771.638097] inode 生成 3 トランディッド 9 サイズ 16 バイト 16384 [445771.638098] ブロックグループ 0 モード 40755 リンク 1 uid 0 gid 0 [445771.638100] rdev 0 シーケンス 2 フラグ 0x0 [445771.638102] atime 1775744884.0 [445771.660056] ctime 1775744885.645502983 [445771.660058] mtime 1775744885.645502983 [445771.660060] otime 1775744884.0 [445771.660062] アイテム 1 キー (256 INODE_REF 256) itemoff 16111 itemsize 12 [445771.660064] index 0 name_len 2 [445771.660066] アイテム 2 キー (256 DIR_ITEM 1843588421) itemoff 16077 アイテムサイズ 34 [445771.660068] ロケーションキー (259 1 0) タイプ 2 [445771.660070] トランジド 9 data_len 0 name_len 4 [445771.660075] アイテム 3 キー (256 DIR_ITEM 2363071922) アイテムオフ 16043 アイテムサイズ 34 [445771.660076] ロケーションキー (257 1 0) タイプ 2 [445771.660077] トランジド 9 data_len 0 name_len 4 [445771.660078] アイテム 4 キー (256 DIR_INDEX 2) アイテムオフ 16009 アイテムサイズ 34 [445771.660079] ロケーションキー (257 1 0) タイプ 2 [445771.660080] トランジド 9 data_len 0name_len 4 [445771.660081] item 5 キー (256 DIR_INDEX 3) itemoff 15975 itemsize 34 [445771.660082] ロケーションキー (259 1 0) タイプ 2 [445771.660083] transid 9 data_len 0 name_len 4 [445771.660084] アイテム 6 キー (257 INODE_ITEM 0) itemoff 15815 itemsize 160 [445771.660086] inode generation 9 transid 9 サイズ 8 nbytes 0 [445771.660087] ブロックグループ 0 モード 40777 links 1 uid 0 gid 0 [445771.660088] rdev 0 sequence 2 flags 0x0 [445771.660089] atime 1775744885.641174097 [445771.660090] ctime 1775744885.645502983 [445771.660091] mtime 1775744885.645502983 [445771.660105] otime 1775744885.641174097 [445771.660106] アイテム 7 キー (257 INODE_REF 256) itemoff 15801 itemsize 14 [445771.660107] インデックス 2 name_len 4 [445771.660108] アイテム 8 キー (257 DIR_ITEM 2676584006) itemoff 15767 itemsize 34 [445771.660109] ロケーションキー (2 ---truncated--- (CVE-2026-46160)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://security-tracker.debian.org/tracker/CVE-2026-46160

プラグインの詳細

深刻度: Critical

ID: 317605

ファイル名: unpatched_CVE_2026_46160.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

ファミリー: Misc.

公開日: 2026/5/29

更新日: 2026/5/29

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2026-46160

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:U/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:linux, cpe:/o:debian:debian_linux:11.0, cpe:/o:debian:debian_linux:12.0, cpe:/o:debian:debian_linux:13.0

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2026/5/28

参照情報

CVE: CVE-2026-46160