UNKNOWNCVE-2026-35091
CVE-2026-35091: Corosync DoS攻撃の脆弱性 (CVSS 8.2)
プラットフォーム
linux
コンポーネント
corosync
修正バージョン
2.5.4
CorosyncにDoSの脆弱性が見つかりました。認証されていないリモートの攻撃者が、特別に細工されたUDPパケットを送信することで、Corosyncのメンバーシップコミットトークンの健全性チェックにおける誤った戻り値の脆弱性を悪用する可能性があります。これにより、範囲外読み取りが発生し、サービス拒否(DoS)を引き起こし、限定的なメモリ内容が漏洩する可能性があります。この脆弱性は、デフォルト構成であるtotemudp/totemudpuモードで実行されているCorosyncに影響します。公式パッチはまだ提供されていません。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-35091とは何ですか?
CVE-2026-35091は、Corosyncのtotemudp/totemudpuモードにおける、サービス拒否(DoS)の脆弱性です。不正なUDPパケットにより、メモリの内容が漏洩し、システムが停止する可能性があります。
この脆弱性の影響を受けますか?
Corosyncをtotemudp/totemudpuモード(デフォルト設定)で使用している場合、この脆弱性の影響を受ける可能性があります。特に、信頼できないネットワークからのUDPパケットを受信している場合は注意が必要です。
どのように修正または軽減できますか?
現在、公式な修正パッチは提供されていません。ネットワークのアクセス制御リスト(ACL)を使用して、信頼できないソースからのUDPトラフィックを制限することを検討してください。Corosyncの設定を確認し、必要に応じてセキュリティを強化してください。