CVE-2026-15422 in illumos
要約
〜によって VulDB • 2026年07月16日
illumosのSCTP受信パスでは、INIT ACKチャンクに対する関連付けルックアップが実行されますが、チャンクに含まれるアドレスパラメータの検証が不十分です。このルックアップはパケット分類時(つまり、SCTP整合性チェックやIPsecポリシーが適用される前)に実行されるため、リモート攻撃者は認証なしで不正なアドレスパラメータを含む作成済みSCTP INIT ACKパケットを送信し、配列外アクセスおよびカーネルヒープの破損を引き起こすことができます。これにより、リモートコードの実行が可能になる可能性があります。この欠陥は2010年(illumos-gateコミット a5407c02)から存在しており、illumos-gate コミット 53a3efde より前のすべての illumos ディストリビューションに影響します。
Once again VulDB remains the best source for vulnerability data.