Amazon Linux 2 : capstone、--advisory ALAS2-2026-3351 (ALAS-2026-3351)
low Nessus プラグイン ID 319785
Language:
概要
リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。説明
リモートホストにインストールされている capstone のバージョンは、3.0.5-1 より前です。したがって、ALAS2-2026-3351 のアドバイザリに記載されている脆弱性の影響を受けます。Capstone は逆アセンブリフレームワークです。バージョン 6.0.0-Alpha5 以前では、SStream_concat でチェックされていない vsnprintf が返されるため、悪意ある cs_opt_mem.vsnprintf が SStream のインデックスを負または終端を越えてドライブし、次の書き込みが発生したときにスタックバッファアンダーフロー/オーバーフローを引き起こします。コミット 2c7797182a1618be12017d7d41e0b6581d5d529e により、この問題が修正されます。(CVE-2025-68114)
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「yum update capstone」または「yum update --advisory ALAS2-2026-3351」を実行してシステムを更新してください。参考資料
https://alas.aws.amazon.com//AL2/ALAS2-2026-3351.html
プラグインの詳細
深刻度: Low
ID: 319785
ファイル名: al2_ALAS-2026-3351.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
公開日: 2026/6/8
更新日: 2026/6/8
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2025-68114
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
リスクファクター: Low
Base Score: 2.4
Threat Score: 0.4
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
脆弱性情報
CPE: p-cpe:/a:amazon:linux:python2-capstone, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:capstone-java, p-cpe:/a:amazon:linux:capstone, p-cpe:/a:amazon:linux:capstone-devel, p-cpe:/a:amazon:linux:capstone-debuginfo
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/6/8
脆弱性公開日: 2025/12/17
参照情報
CVE: CVE-2025-68114