つみかさね

CVE-2026-1584

High(7.5)

CVE-2026-1584 — GnuTLS NULLポインタ参照によるリモートDoS

公開日: 2026-05-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GnuTLSGnuTLS Project / Red HatRHSA-2026:7477 適用前

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1GnuTLSを使用しているか確認する(Red Hat系では標準)
  2. 2RHSA-2026:7477 またはGnuTLS最新版へアップデートする
  3. 3TLSサービスの可用性モニタリングを強化する

影響対象

GnuTLS利用のTLSサーバー運用者Red Hat系Linux利用者

補足

  • -PSK未使用環境でもハンドシェイク処理で影響を受けます
CVEGnuTLSTLSDoSRed Hat

概要

GnuTLSにリモートからのサービス拒否(DoS)脆弱性が存在します。認証不要のリモート攻撃者が、無効な Pre-Shared Key(PSK)バインダー値を含む特殊な ClientHello メッセージをTLSハンドシェイク中に送信することで、NULLポインタ参照を引き起こし、サーバーをクラッシュさせることができます。

GnuTLSはRed Hat系ディストリビューション(RHEL、CentOS、Fedora等)で標準のTLSライブラリとして広く使用されており、影響範囲が広い脆弱性です。TLSサービスを公開しているサーバーでは早めのパッチ適用を推奨します。

CVSSベクトル

指標
CVSSスコア7.5
深刻度High
CWECWE-476 (NULLポインタ参照)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
GnuTLSGnuTLS ProjectRHSA-2026:7477 適用前

修正バージョンと回避策

  • Red Hat: RHSA-2026:7477 を適用してください
  • GnuTLS公式: 最新バージョンへアップデートしてください
  • PSKを使用していないTLS環境でも、ハンドシェイク処理の問題であるため影響を受けます

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-1584
Red Hat:https://access.redhat.com/security/cve/CVE-2026-1584
Red Hat Errata:https://access.redhat.com/errata/RHSA-2026:7477
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。