检测

Linux Distros 未修补的漏洞:CVE-2026-26994

medium Nessus 插件 ID 299752

语言:

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

 - uTLS 是 crypto/tls 的一个分支创建用于自定义 ClientHello 以实现指纹识别阻抗同时仍将其用于握手。在版本 1.6.7 及更低版本中使用 uTLS ClientHello 规范时uTLS 未实现 RFC 8446 第 4.1.3 节中指定的 TLS 1.3 降级保护机制。这允许主动网络攻击者通过修改 ClientHello 消息以排除 SupportedVersions 扩展从而将 TLS 1.3 连接降级为较低的 TLS 版本例如 TLS 1.2导致服务器以 TLS 响应 1.2 ServerHello以及 ServerHello 随机字段中的降级金丝虫。由于 uTLS 未检查 ServerHello 随机字段中的降级 canary因此客户端会在没有检测到攻击的情况下接受降级连接。主动网络攻击者也可利用此攻击对 uTLS 连接进行指纹采样。此问题已在 1.7.0 版本中修复。
 (CVE-2026-26994)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://security-tracker.debian.org/tracker/CVE-2026-26994

https://ubuntu.com/security/CVE-2026-26994

插件详情

严重性: Medium

ID: 299752

文件名: unpatched_CVE_2026_26994.nasl

版本: 1.2

类型: local

代理: unix

系列: Misc.

发布时间: 2026/2/22

最近更新时间: 2026/2/24

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.3

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.7

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2026-26994

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 6

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:U/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:golang-refraction-networking-utls, cpe:/o:debian:debian_linux:11.0, cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:golang-refraction-networking-utls, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:debian:debian_linux:14.0, cpe:/o:debian:debian_linux:12.0, cpe:/o:debian:debian_linux:13.0

必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier

易利用性: No known exploits are available

漏洞发布日期: 2025/4/23

参考资料信息

CVE: CVE-2026-26994