Linux Distros のパッチ未適用の脆弱性: CVE-2026-27727

high Nessus プラグイン ID 324901

概要

Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。

説明

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

- Java ユーティリティを提供するライブラリである mchange-commons-java には、JNDI 機能の初期実装を模倣するコードが含まれており、実行中のアプリケーション内でコードをダウンロードして呼び出すことが可能な、リモートの「factoryClassLocation」値のサポートも含まれています。攻撃者が、悪意を持って細工された「javax.naming.Reference」またはシリアル化されたオブジェクトをアプリケーションに読み取らせることができる場合、悪意のあるコードのダウンロードおよび実行を引き起こす可能性があります。JDK 内のこの機能の実装は、デフォルト値が「false」であるシステムプロパティ「com.sun.jndi.ldap.object.trustURLCodebase」によって無効化されました。ただし、mchange-commons-java には JNDI 逆参照の独立した実装が含まれているため、その実装を介して参照を解決するライブラリ (c3p0 など) は、JDK が強化された後でも、悪意のあるコードをダウンロードして実行させられる可能性があります。
JDK のパッチを反映して、mchange-commons-java の JNDI 機能は、バージョン 0.4.0 以降、制限付きの値をデフォルトとする構成パラメーターによって制御されます。既知の回避策はありません。アプリケーションの CLASSPATH では、0.4.0 より前のバージョンは使用を避ける必要があります。(CVE-2026-27727)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ソリューション

現時点で既知の解決策はありません。

参考資料

https://ubuntu.com/security/CVE-2026-27727

プラグインの詳細

深刻度: High

ID: 324901

ファイル名: unpatched_CVE_2026_27727.nasl

バージョン: 1.2

タイプ: Local

エージェント: unix

ファミリー: Misc.

公開日: 2026/7/2

更新日: 2026/7/6

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.9

パーセンタイル: 58.03

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-27727

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:U/RC:C

CVSS v4

リスクファクター: High

Base Score: 8.9

Threat Score: 7.4

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

脆弱性情報

CPE: cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:14.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.10, p-cpe:/a:canonical:ubuntu_linux:c3p0, cpe:/o:canonical:ubuntu_linux:26.04:-:lts

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

脆弱性公開日: 2026/2/25

参照情報

CVE: CVE-2026-27727