リモートの openSUSE 15 ホストには、SUSE-SU-2025:0858-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    - CVE-2025-27610: ローカルファイルのインクルードにつながるファイルを提供する際の、ユーザー指定のパスの不適切なサニタイズを修正しました (bsc#1239298)。
    - CVE-2025-25184: Rack::CommonLogger のログエントリ操作を修正しました (bsc#1237141)。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SLES15/ openSUSE 15 ホストには、SUSE-SU-2025:0874-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    - CVE-2025-25184: ログインジェクションの可能性につながる、ラックのエスケープシーケンスインジェクションの脆弱性を修正しました (bsc#1237141)
    - CVE-2025-27111: ログインジェクションの可能性につながる、ラックのエスケープシーケンスインジェクションの脆弱性を修正しました (bsc#1238607)
    - CVE-2025-27610: ユーザー指定のパスの不適切なサニタイズを修正しました (bsc#1239298)

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 8 ホストには、RHSA-2025:3491 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat Satellite はシステム管理ソリューションです。これを使用することで組織は、組織のサーバーやその他クライアントシステムにパブリックインターネットアクセスを提供することなく、システムの設定や維持を行うことができるようになります。また、このソリューションは、事前に定義された標準のオペレーティング環境のプロビジョニングや設定管理も行います。

    セキュリティ修正プログラム:

    * rubygem-graphql: 細工された GraphQL スキーマをロードするときのリモートコード実行 (CVE-2025-27407)

    * rubygem-rack: Rack::Static のローカルファイルインクルード (CVE-2025-27610)

    * python-jinja2: Jinja には、悪意のあるファイル名によるサンドボックスブレイクアウトが存在します (CVE-2024-56201)

    カーネルのユーザーは、これらの更新済みのパッケージへアップグレードし、これらのバグを修正することが推奨されます。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Debian 12 ホストには、dsa-5886 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    - ------------------------------------------------------------------------- Debian セキュリティアドバイザリ DSA-5886-1 security@debian.org https://www.debian.org/security/Moritz Muehlenhoff 2025 年 3 月 25 日 https://www.debian.org/security/faq
    - -------------------------------------------------------------------------

    パッケージ : ruby-rack CVE ID : CVE-2025-25184 CVE-2025-27111 CVE-2025-27610

    Ruby でウェブアプリケーションを開発するためのインターフェースである Rack で、複数のセキュリティの問題が見つかりました。これにより、ログのインジェクションや情報漏洩が発生する可能性があります。

    安定版 (stable) ディストリビューション (bookworm) では、これらの問題はバージョン 2.2.13-1~deb12u1 で修正されています。

    お使いの ruby-rack パッケージをアップグレードすることを推奨します。

    ruby-rackの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
    https://security-tracker.debian.org/tracker/ruby-rack

    Debian セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://www.debian.org/security/

    メーリングリスト: debian-security-announce@lists.debian.org

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 8/9 ホストには、RHSA-2025:3490 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat Satellite はシステム管理ソリューションです。これを使用することで組織は、組織のサーバーやその他クライアントシステムにパブリックインターネットアクセスを提供することなく、システムの設定や維持を行うことができるようになります。また、このソリューションは、事前に定義された標準のオペレーティング環境のプロビジョニングや設定管理も行います。

    セキュリティ修正プログラム:

    * rubygem-rack: Rack::Static のローカルファイルインクルード (CVE-2025-27610)

    * rubygem-graphql: 細工された GraphQL スキーマをロードするときのリモートコード実行 (CVE-2025-27407)

    カーネルのユーザーは、これらの更新済みのパッケージへアップグレードし、これらのバグを修正することが推奨されます。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2025:4576 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat Satellite はシステム管理ソリューションです。これを使用することで組織は、組織のサーバーやその他クライアントシステムにパブリックインターネットアクセスを提供することなく、システムの設定や維持を行うことができるようになります。また、このソリューションは、事前に定義された標準のオペレーティング環境のプロビジョニングや設定管理も行います。

    セキュリティ修正プログラム:
    * python-djangoIPv6 検証における潜在的なサービス拒否の脆弱性CVE-2024-56374
    * python-jinja2フォーマットメソッドへの間接参照を通じたサンドボックスの脱出CVE-2024-56326
    * rubygem-rack: Rack::Static のローカルファイルインクルード (CVE-2025-27610)
    * rubygem-graphql: 細工された GraphQL スキーマをロードするときのリモートコード実行 (CVE-2025-27407)

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Ubuntu 14.04 LTS / 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10 ホストには、USN-7366-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    Nht Thi 氏は、Rack が特定のユーザー名を間違って処理していることを発見しました。リモートの攻撃者がこの問題を悪用して、CRLF インジェクションを仕掛ける可能性があります。(CVE-2025-25184)

    Phm Quang Minh 氏は、Rack が特定のヘッダーを間違って処理していることを発見しました。リモートの攻撃者がこの問題を悪用して、ログインジェクションを仕掛ける可能性があります。(CVE-2025-27111)

    Phm Quang Minh 氏は、Rack が相対ファイルパスを適切に処理していないことを発見しました。リモートの攻撃者がこれを悪用して、アクセスできないはずのローカルファイルを含める可能性があります。(CVE-2025-27610)

Tenable は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Rack は、Ruby で Web アプリケーションを開発するためのインターフェースを提供します。バージョン 2.2.13、 3.0.14、 3.1.12より前では、「Rack::Static」は指定された「root:」下のファイルを提供することが可能で、「urls:」が提供されていても、指定された「root:」下の他のファイルを漏洩させる可能性があります。予期せず。この脆弱性は、ファイルを提供する前に「Rack::Static」がユーザー指定のパスを適切にサニタイズしないために発生します。具体的には、エンコードされたパストラバーサルシーケンスが正しく検証されず、これによって攻撃者が、指定された静的ファイルディレクトリ外のファイルにアクセスする可能性があります。この脆弱性を悪用することで、攻撃者はファイルのパスを判断できる場合、指定された「root:」ディレクトリのすべてのファイルにアクセスできるようになる可能性があります。
    バージョン 2.2.13、 3.0.14、 3.1.12 には、 の問題用のパッチが含まれています。その他の緩和策には、「Rack::Static」の使用を削除することや、「root:」がパブリックアクセス対象のファイルのみを含むディレクトリパスを指すようにすることが含まれます。CDNまたは類似の静的ファイルサーバーによっても、問題が緩和される可能性があります。CVE-2025-27610

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートの Fedora 43 ホストには、FEDORA-2025-203b7db566 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    https://fedoraproject.org/wiki/Changes/Ruby_on_Rails_8.0

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Debian 11 ホストには、dla-4090 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    - ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-4090-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Adrian Bunk 2025 年 3 月 24 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    パッケージ : ruby-rack バージョン : 2.1.4-3+deb11u3 CVE ID : CVE-2025-25184 CVE-2025-27111 CVE-2025-27610 Debian バグ : 1098257 1099546 1100444

    Ruby で Web アプリケーションを開発するためのインターフェースである ruby-rack の複数の脆弱性が修正されました。

    CVE-2025-25184

        Rack::CommonLogger のログインジェクション

    CVE-2025-27111

        Rack::Sendfile のログインジェクション

    CVE-2025-27610

        Rack::Static のローカルファイルインクルード

    Debian 11 bullseye においては、これらの問題はバージョン 2.1.4-3+deb11u3 で修正されました。

    お使いの ruby-rack パッケージをアップグレードすることを推奨します。

    ruby-rack の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
    https://security-tracker.debian.org/tracker/ruby-rack

    Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 8 ホストには、RHSA-2025:3492 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat Satellite はシステム管理ソリューションです。これを使用することで組織は、組織のサーバーやその他クライアントシステムにパブリックインターネットアクセスを提供することなく、システムの設定や維持を行うことができるようになります。また、このソリューションは、事前に定義された標準のオペレーティング環境のプロビジョニングや設定管理も行います。

    セキュリティ修正プログラム:

    * rubygem-graphql: 細工された GraphQL スキーマをロードするときのリモートコード実行 (CVE-2025-27407)

    * rubygem-rack: Rack::Static のローカルファイルインクルード (CVE-2025-27610)

    カーネルのユーザーは、これらの更新済みのパッケージへアップグレードし、これらのバグを修正することが推奨されます。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
232719	openSUSE 15 セキュリティ更新 : rubygem-rack-1_6 (SUSE-SU-2025:0858-1)	Nessus	SuSE Local Security Checks	2025/3/14	2025/6/6	high
232756	SUSE SLES15 / openSUSE 15 セキュリティ更新 : rubygem-rack (SUSE-SU-2025:0874-1)	Nessus	SuSE Local Security Checks	2025/3/15	2025/6/6	medium
233927	RHEL 8: Satellite 6.15.5.2 Async の更新 (重要度高) (RHSA-2025:3491)	Nessus	Red Hat Local Security Checks	2025/4/5	2025/6/6	medium
233339	Debian dsa-5886: ruby-rack - セキュリティ更新	Nessus	Debian Local Security Checks	2025/3/25	2025/6/6	medium
233911	RHEL 8/9: Satellite 6.16.4 Async の更新 (重要度高) (RHSA-2025:3490)	Nessus	Red Hat Local Security Checks	2025/4/5	2025/6/6	critical
235426	RHEL 9Satellite 6.17.0 重要度高RHSA-2025:4576	Nessus	Red Hat Local Security Checks	2025/5/7	2025/6/5	medium
233300	Ubuntu 14.04 LTS / 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10 : Rack の脆弱性 (USN-7366-1)	Nessus	Ubuntu Local Security Checks	2025/3/24	2025/6/6	medium
248795	Linux Distros のパッチ未適用の脆弱性: CVE-2025-27610	Nessus	Misc.	2025/8/12	2025/8/12	high
242193	Fedora 43 : rubygem-actioncable / rubygem-actionmailbox / rubygem-actionmailer / etc (2025-203b7db566)	Nessus	Fedora Local Security Checks	2025/7/16	2025/7/16	medium
233303	Debian dla-4090 : ruby-rack - セキュリティ更新	Nessus	Debian Local Security Checks	2025/3/24	2025/6/6	medium
233923	RHEL 8: Satellite 6.14.4.5 Async の更新 (重要度高) (RHSA-2025:3492)	Nessus	Red Hat Local Security Checks	2025/4/5	2025/6/6	critical

検出

プラグインの検索

high

medium

medium

medium

critical

medium

medium

high

medium

medium

critical