Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Dulwich 是 Git 文件格式和协议的纯 Python 实现。在版本 0.1.0 和之前的版本 1.2.5中，具有推送访问权限的客户端可以推送其增量标头声明巨大dest_size的微小精简包（~174 字节）。当 dulwich 通过 add_thin_pack / apply_delta 提取此文件时，它会根据攻击者控制的大小分配数百 MB 的内存，与实际收到的字节无关。运行暴露 git-receive-pack（即接受推送）的基于 Dulwich 的 Git 服务器的运算符（例如通过 dulwich.server 功能、HTTP 智能服务器或任何构建于 ReceivePackHandler 的内容）会受到影响。此问题已在 1.2.5中修复。add_thin_pack 现在接受 max_input_size 关键字（字节;0/None = 无限制，符合 git 语义），且 ReceivePackHandler 从存储库配置读取 receive.maxInputSize 并将其传递。有线读取被计算在内，一旦超过上限，就会引发 PackInputTooLarge 异常 - 等同于 git index-pack --max-input-size。用户应升级到 Dulwich 1.2.5 或更高版本，并将服务器存储库配置中的 receive.maxInputSize 设置为适合其环境的合理边界。在未经修补的版本中，receive.maxInputSize 无任何影响，因此不能用作变通方案。在升级之前，操作员应将 dulwich-receive-pack（推送）访问限制为受信任、经过身份验证的客户端，或者在只需要在操作系统级别内存限制（例如 ulimit、cgroups/MemoryMax 或容器内存限制）下运行服务器的服务器上完全禁用，以便终止恶意推送，而不是关闭主机。（CVE-2026-47734）

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2026-47734

medium Nessus 插件 ID 317719

版本 1.4