製品・ソフトウェアに関する情報

JVN脆弱性詳細

GNU Project等の複数ベンダの製品におけるNull バイト相互作用エラー (Poison Null Byte) の脆弱性

Title	GNU Project等の複数ベンダの製品におけるNull バイト相互作用エラー (Poison Null Byte) の脆弱性
Summary	gnutlsに脆弱性が発見されました。RSA-PSK（Rivest-Shamir-Adleman - 事前共有鍵）を使用するサーバーでは、NUL文字を含むユーザー名が切り詰められたユーザー名と誤って一致してしまいます。リモートの攻撃者は特別に細工されたユーザー名を送信することで、認証を回避する可能性があります。この脆弱性により、攻撃者は認証プロセスを回避して不正にアクセスすることが可能です。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 7, 2026, midnight
Registration Date	May 15, 2026, 11 a.m.
Last Update	May 15, 2026, 11 a.m.

Affected System

レッドハット

Red Hat Enterprise Linux 10.0

Red Hat Enterprise Linux 6.0

Red Hat Enterprise Linux 7.0

Red Hat Enterprise Linux 8.0

Red Hat Enterprise Linux 9.0

Red Hat Hardened Images

Red Hat OpenShift Container Platform 4.0

GNU Project

GnuTLS

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-42010	https://www.cve.org/CVERecord?id=CVE-2026-42010
National Vulnerability Database (NVD)
2	CVE-2026-42010	https://nvd.nist.gov/vuln/detail/CVE-2026-42010
Red Hat Customer Portal
3	CVE-2026-42010 - Red Hat Customer Portal	https://access.redhat.com/security/cve/CVE-2026-42010

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-626	https://cwe.mitre.org/data/definitions/626.html

ベンダー情報

No	Name	URL
Red Hat Bugzilla
1	2467289 (CVE-2026-42010) CVE-2026-42010 gnutls: gnutls: Authentication Bypass via NUL Character in Username	https://bugzilla.redhat.com/show_bug.cgi?id=2467289

Change Log

No	Changed Details	Date of change
1	[2026年05月15日] 掲載	May 15, 2026, 11 a.m.

NVD Vulnerability Information

CVE-2026-42010

Summary	A flaw was found in gnutls. Servers configured with RSA-PSK (Rivest–Shamir–Adleman – Pre-Shared Key) wrongfully matched usernames containing a NUL character with truncated usernames. A remote attacker could exploit this by sending a specially crafted username, leading to an authentication bypass. This vulnerability allows an attacker to gain unauthorized access by circumventing the authentication process.
Publication Date	May 7, 2026, 9:16 p.m.
Registration Date	May 8, 2026, 4:09 a.m.
Last Update	May 13, 2026, 10:54 p.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:gnu:gnutls:-:::::::*
cpe:2.3:a:redhat:hardened_images:-:::::::*
cpe:2.3:a:redhat:openshift_container_platform:4.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:7.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:8.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:9.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:10.0:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	https://access.redhat.com/security/cve/CVE-2026-42010	secalert@redhat.com
2	https://bugzilla.redhat.com/show_bug.cgi?id=2467289	secalert@redhat.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-626	Null バイト相互作用エラー (Poison Null Byte)	https://cwe.mitre.org/data/definitions/626.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:gnu:gnutls:-:::::::*
cpe:2.3:a:redhat:hardened_images:-:::::::*
cpe:2.3:a:redhat:openshift_container_platform:4.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:6.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:7.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:8.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:9.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:10.0:::::::*