つみかさね

CVE-2026-42009

High(7.5)

CVE-2026-42009 — gnutls DTLSパケット再整列における DoS

公開日: 2026-05-25データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
gnutlsGnuTLS Project修正版未満(Red Hat Bugzilla #2467279 参照)

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1gnutlsを使用しているサービスを確認する
  2. 2DTLSを使用しているかどうかを確認する(UDP上のTLS通信)
  3. 3gnutlsを最新版へアップデートする
  4. 4アップデート後、gnutlsを使用するサービスの動作を確認する

影響対象

gnutlsを使用するDTLS対応サービス

補足

  • -DTLSを使用していない環境での実質的な影響は限定的だが、gnutlsのアップデートは推奨
CVEgnutlsDTLSDoSCWE-475TLS

概要

gnutlsのDatagram Transport Layer Security(DTLS)実装において、パケット再整列ロジックに問題が発見された(CVE-2026-42009)。

DTLSはパケットの順序が保証されないUDP上でTLSを実現するプロトコルであり、受信したパケットをシーケンス番号で並べ替える処理が必要となる。このコンパレータ関数が、シーケンス番号の重複するパケットを正しく処理できず、未定義の動作(undefined behavior)につながる状態だった。

リモートの攻撃者が細工した重複シーケンス番号を持つパケットを送信することで、gnutlsを使用するサービスのクラッシュや不安定な動作を引き起こし、サービス拒否(DoS)につながる可能性がある。

CVSSベクトル

項目
CVSSスコア7.5(High)
ベクトルCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CWECWE-475(APIへの入力に対する未定義の動作)
攻撃元区分(AV)ネットワーク
攻撃条件の複雑さ(AC)
必要な特権レベル(PR)不要
ユーザー関与(UI)不要
スコープ(S)変更なし
機密性への影響(C)なし
完全性への影響(I)なし
可用性への影響(A)

影響を受けるソフトウェア

製品ベンダー影響バージョン
gnutlsGnuTLS Project / Red Hat詳細はRed Hat Bugzillaを参照

修正バージョンと回避策

  • 修正: gnutls最新版へアップデートすることを推奨
  • 参照: Red Hat Security Advisory および Red Hat Bugzilla #2467279 で詳細を確認
  • DTLSを使用していない環境では実質的な影響を受けにくいが、gnutlsのアップデート自体は推奨

関連リンク

データソース: NVD (NIST), Red Hat Security
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42009
Red Hat:https://access.redhat.com/security/cve/CVE-2026-42009
Bugzilla:https://bugzilla.redhat.com/show_bug.cgi?id=2467279
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。