つみかさね

CVE-2026-42013

High(8.2)

CVE-2026-42013 — GnuTLS Subject Alternative Name検証バイパス(CVSS 8.2)

公開日: 2026-06-25データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GnuTLSGnuTLS Project / Red Hatパッチ未適用の各バージョン

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1GnuTLSのバージョンを確認する
  2. 2証明書ベースの認証やTLS検証にGnuTLSを使用しているか確認する
  3. 3ディストリビューションの提供するパッチ(RHSAなど)を適用する

影響対象

GnuTLS利用システム(特に証明書ベース認証環境)

補足

  • -証明書ベースの認証機構を持つシステムでは優先的に対応を推奨します
CVEGnuTLSTLS証明書検証中間者攻撃RHEL

概要

GnuTLS ライブラリの証明書検証処理に欠陥(CWE-1284:不適切な入力数量検証)が発見されました。証明書の Subject Alternative Name (SAN) フィールドが過大な値を含む場合、検証プロセスが誤って Common Name (CN) フィールドへのフォールバックを実行します。

これにより、リモートの攻撃者が正規の証明書検証を回避し、スプーフィングや中間者(MitM)攻撃を行える可能性があります。

関連して CVE-2026-5260(CVSS 8.2)では、PKCS#11トークン使用時のRSA鍵交換で極めて短いpremaster secretを送ることでヒープオーバーリードが発生し、情報漏洩につながる可能性があります。

CVSSベクトル

項目
スコア8.2(High)
攻撃経路ネットワーク(AV:N)
攻撃の複雑さ低(AC:L)
必要な権限なし(PR:N)
ユーザー操作不要(UI:N)
CWECWE-1284(不適切な入力数量検証)

影響を受けるソフトウェア

  • GnuTLS(Red Hat Enterprise Linux を含む各ディストリビューション)

修正バージョンと回避策

以下のRed Hat セキュリティアドバイザリを確認し、パッチを適用してください:

  • RHSA-2026:20611
  • RHSA-2026:20612
  • RHSA-2026:20613
  • RHSA-2026:26319
  • RHSA-2026:26409

各ディストリビューションのパッケージアップデートツールで最新の GnuTLS パッケージに更新してください。

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-5260libgnutls ヒープオーバーリードCVSS 8.2

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42013
Red Hat RHSA:https://access.redhat.com/errata/RHSA-2026:20611
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。