Linux Distros 未修补的漏洞:CVE-2026-45858
medium Nessus 插件 ID 317278
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- ext4:不将整个盘区归零 如果EXT4_EXT_DATA_PARTIAL_VALID1 从大型的未写入盘区分配初始化区块,或在结束 I/O 期间拆分未写入盘区并将其转换为初始化盘区时,需要在中间拆分盘区,当前可能存在过时数据问题。0 A B N [UUUUUUUUUUUU] U:未写入范围 [--DDDDDDDD--] D:有效数据 |<- ->|---->此范围需要初始化ext4_split_extent() 首先尝试拆分具有 EXT4_EXT_DATA_ENTIRE_VALID1 和 EXT4_EXT_MAY_ZEROOUT 标记的 B 处的此盘区,但 ext4_split_extent_at() 由于暂时空间不足而无法拆分此盘区。它将 B 到 N 归零,并将从 0 到 N 的整个盘区标记为写入。0 A B N [WWWWWWWWWWWW] W:写入范围 [SSDDDDDDDDZZ] Z:归零,S:过时数据 ext4_split_extent() 然后尝试在 A 处使用EXT4_EXT_DATA_VALID2标记集拆分此范围。这一次,它成功拆分并留下了一个从 0 到 A. 0 的过时写入范围 A B N [WW|WWWWWWWWWW] [SS|DDDDDDDDZZ] 修复此问题 在 B 处拆分时EXT4_EXT_DATA_PARTIAL_VALID1 ext4_split_extent_at() 的绕过,将 B 归零到 N 之后,不将整个盘区转换为已写入,并将其保留为未写入。其余工作就像标准的两部分拆分一样。ext4_split_extent() 将在第二次调用 ext4_split_extent_at() 时传递 EXT4_EXT_DATA_VALID2 标记,从而使其能够正确处理拆分。如果拆分成功,它将把从 0 到 A 的范围保持为未写入。(CVE-2026-45858)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Medium
ID: 317278
文件名: unpatched_CVE_2026_45858.nasl
版本: 1.1
类型: Local
代理: unix
系列: Misc.
发布时间: 2026/5/27
最近更新时间: 2026/5/27
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 2.9
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:linux, cpe:/o:debian:debian_linux:11.0, cpe:/o:debian:debian_linux:12.0
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2026/5/27
参考资料信息
CVE: CVE-2026-45858