Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - concurrent-ruby は、Ruby 用の最新の並行性ツールです。1.3.7より前は、現在の値が Float::NAN の場合、Concurrent::AtomicReference#update が恒久的なビジーリトライループに入る可能性があります。この問題は AtomicReference#update 間の相互作用によって引き起こされ、compare_and_set(old_value, new_value) が成功するまで再試行します。下層のアトミックスワップを試みる前に古い == old_value をチェックする数値compare_and_set。Ruby NaN セマンティクス (Float::NAN == Float::NAN は常に false) です。その結果、AtomicReferenceにFloat::NANが含まれると、呼び出し #update 呼び出しは呼び出し元のブロックを繰り返し評価し、返りません。外部から派生した数値を AtomicReference に保存するサービスでは、これにより CPU 消耗またはリクエスト/ジョブの恒久的なハングアップを引き起こす可能性があります。この脆弱性は 1.3.7 で修正されました。(CVE-2026-54904)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-54904

high Nessus プラグイン ID 322649

バージョン 1.3