SUSE SLES15 / openSUSE 15 : Multi-Linux Manager Client Tools のセキュリティ更新 5.0.7 (SUSE-SU-2026:1013-1)
critical Nessus プラグイン ID 303779
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES15/ openSUSE 15 ホストには、SUSE-SU-2026:1013-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。dracut-saltboot:
- 1.1.0 へのバージョン更新:
* DHCP リクエストを最大 3 回再試行します (bsc#1253004)
golang-github-QubitProducts-exporter_exporter:
- 非顧客対応の最適化と更新
golang-github-boynux-squid_exporter:
- 次のハイライトされた変更と修正を含む 1.6.0 から 1.13.0 へのバージョン更新 (jsc#PED-14971):
* Squid 6 に対する互換性および squid-internal-mgr メトリクスパスに対するサポートを追加しました
* TLS および基本認証をエクスポーターウェブインターフェースに追加しました
* Squid プロキシ自体に対して認証するためのエクスポージャーのサポートを追加しました
* root 権限を必要とせずにプロセス情報を収集できるようにします
* エクスポーターは、環境変数を使用して設定できるようになりました
* データフィルタリングを改善するために、すべてのエクスポートされたメトリクスにカスタムラベルのサポートを追加しました
* Squid が実行中かどうか (squid_up)、スクレイプにかかる時間、エラーが発生したかどうかを追跡するための新しいメトリクス
* プロキシの速度とパフォーマンスを分析するために「サービス時間」メトリクスを追加しました。
* 接続のボトルネックを防ぐために、オープンファイル記述子のメトリクス (process_open_fds) を追加しました
* 正確なレポートを確保するために、squid_client_http_requests_total メトリクスを修正しました
golang-github-lusitaniae-apache_exporter:
- 1.0.8 から 1.0.10 へのバージョン更新:
* github.com/prometheus/client_golang を 1.21.1 に更新しました
* github.com/prometheus/common を 0.63.0 に更新しました
* github.com/prometheus/exporter-toolkit を 0.14.0 に更新しました
* シグナルハンドラーロギングを修正しました
golang-github-prometheus-prometheus:
- 修正されたセキュリティ問題:
* CVE-2026-27606: ロールアップのパストラバーサルによる任意のファイル書き込みを修正しました (bsc#1258893)
* CVE-2026-25547: 過剰な CPU およびメモリ消費を引き起こすブレース範囲の拡張を修正しました (bsc#1257841)
* CVE-2026-1615、CVE-2025-61140 セキュリティの問題により、古い Web UI はもはや構築されません (bsc#1257897、bsc#1257442)
* CVE-2025-13465: lodash パッケージをバージョン 4.17.23 に更新し、プロトタイプ汚染の脆弱性を修正します (bsc#1257329)
* CVE-2025-12816: 暗号化検証のバイパスを可能にする解釈競合の脆弱性 (bsc#1255588)
- 次のハイライトされた変更を含む 2.53.4 から 3.5.0 へのバージョン更新 (jsc#PED-13824):
* インターフェースの刷新: 全く新しい UI を導入しました
* クラウドおよび認証の強化: AWS サービス検出 (EC2、ECS、Lightsail) および Azure Workload Identity サポートが追加され、より安全なネイティブクラウド認証が可能になりました。
* パフォーマンス標準: OpenTelemetry (OTLP) 取り込みを完全に統合し、ネイティブヒストグラムを実験的機能から安定版機能へ移行しました。
* 高度なデータエクスポート: リモート書き込み 2.0 をロールアウトし、データを外部システムに送信する際にパフォーマンスとメタデータ処理が向上しました。
* クエリパワー: PromQL 関数 (first_over_time や last_over_time など) を追加し、グループ化操作を最適化しました
* 可視性の向上: UI に詳細な再ラベル付け手順、スクレイプ間隔、タイムアウトが表示されるようになり、ターゲットが正しく報告されない理由のトラブルシューティングが容易になりました。
* 重要な修正: クエリロギングに関連する重大なメモリ漏洩を解決し、ターゲットが意図せず複数回スクレイプされるバグを修正しました
grafana:
- 修正されたセキュリティ問題:
* CVE-2026-21722: 公開ダッシュボード注釈: 時間選択が無効な場合はダッシュボードの時間範囲を使用します (bsc#1258136)
* CVE-2026-21721: ダッシュボードアクセス許可 API によるアクセスコントロールを修正しました (bsc#1257337)
* CVE-2026-21720: 認証されていない DoS を修正しました (bsc#1257349)
* CVE-2025-68156: ビルトイン関数の無限再帰を通じた潜在的な DoS を修正しました (bsc#1255340)
* CVE-2025-3415: DingDing アラート統合 URL のビューアーレベルユーザーへの漏洩を修正しました (bsc#1245302)
- 次のハイライトされた変更と修正を含む 11.5.10 から 11.6.11 へのバージョン更新:
* パフォーマンス向上: よりスムーズなマップ視覚化のために WebGL ベースのジオマップを導入し、UI オーバーレイからぼやけた背景を削除してインターフェースを高速化しました
* ワンクリックアクション: ビジュアライゼーションで、ワンクリックのリンクとアクションを介したよりすばやいナビゲーションをサポートするようになりました
* アラート履歴: アラートルールにバージョン履歴が追加され、時間の経過に伴う変更を追跡できるようになりました
* サービスアカウント: 起動時に古い API キーをより安全なサービスアカウントに自動的に移行するようにしました
* Cron サポート: 注釈では、より柔軟なスケジューリングのために Cron 構文をサポートするようになりました
* ID および認証: Avatar 機能を強化し (現在はサインインが必要)、Grafana がサブパスでホストされている場合のいくつかのログインリダイレクト問題を修正しました
* データソースのサポート: Cloud Partner Prometheus データソースのサポートを追加し、Azure 凡例フォーマットを改善しました
* アラート制限: システムのストレスを回避するために、拡張された通知テンプレートのサイズ制限を追加しました
* RBAC: ロールベースのアクセスコントロール (RBAC) を、reqAction フィールドを通じて Alertmanager に統合しました
* データの一貫性: 繰り返しの行またはネスト化されたクエリで変数が処理される方法に関する Graphite と InfluxDB のいくつかの問題を修正しました
* ダッシュボードの信頼性: 行の繰り返しと「自己参照」データリンクに関連するバグを解決しました
* アラート修正: アラートルールの競合状態によって引き起こされる重大な「パニック」(クラッシュ) にパッチが適用され、連絡先が正しく機能しない問題が修正されました
* URL 処理: URL パラメーターの「true」値が正しく読み取られなかったバグを修正しました
prometheus-blackbox_exporter:
- 非顧客対応の最適化と更新
spacecmd:
- 5.0.15 へのバージョン更新:
* spacecmd のヘルプ ca-cert フラグにある誤字を修正しました (bsc#1253174)
* キャッシュされた ID を整数値に変換します (bsc#1251995)
* spacecmd のバイナリファイルのアップロードを修正しました (bsc#1253659)
uyuni-tools:
- 0.1.38 へのバージョン更新:
* スタンドアロンファイルに移行する際の cobbler 構成を修正しました (bsc#1256803)
* /etc/uyuuni/proxy フォルダーのカスタム apache および squid 構成を検出します
* sshd を構成するために ssh 調整を追加します (bsc#1253738)
* Supportconfig エラーを無視します (bsc#1255781)
* デフォルトのイメージタグを 5.0.7 へ更新
* podman コンテナ用の cgroup マウントを削除 (bsc#1253347)
* レジストリフラグは文字列の可能性があります (bsc#1254589)
* 静的 supportconfig 名を使用して動的検索を回避 (bsc#1257941)
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1245302
https://bugzilla.suse.com/1251995
https://bugzilla.suse.com/1253004
https://bugzilla.suse.com/1253174
https://bugzilla.suse.com/1253347
https://bugzilla.suse.com/1253659
https://bugzilla.suse.com/1253738
https://bugzilla.suse.com/1254589
https://bugzilla.suse.com/1255340
https://bugzilla.suse.com/1255588
https://bugzilla.suse.com/1255781
https://bugzilla.suse.com/1256803
https://bugzilla.suse.com/1257329
https://bugzilla.suse.com/1257337
https://bugzilla.suse.com/1257349
https://bugzilla.suse.com/1257442
https://bugzilla.suse.com/1257841
https://bugzilla.suse.com/1257897
https://bugzilla.suse.com/1257941
https://bugzilla.suse.com/1258136
https://bugzilla.suse.com/1258893
http://www.nessus.org/u?fe9c5415
https://www.suse.com/security/cve/CVE-2025-12816
https://www.suse.com/security/cve/CVE-2025-13465
https://www.suse.com/security/cve/CVE-2025-3415
https://www.suse.com/security/cve/CVE-2025-61140
https://www.suse.com/security/cve/CVE-2025-68156
https://www.suse.com/security/cve/CVE-2026-1615
https://www.suse.com/security/cve/CVE-2026-21720
https://www.suse.com/security/cve/CVE-2026-21721
https://www.suse.com/security/cve/CVE-2026-21722
プラグインの詳細
深刻度: Critical
ID: 303779
ファイル名: suse_SU-2026-1013-1.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2026/3/26
更新日: 2026/3/26
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2026-27606
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
リスクファクター: Critical
Base Score: 9.3
Threat Score: 8.8
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
脆弱性情報
CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:golang-github-prometheus-promu
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/3/25
脆弱性公開日: 2025/6/18
参照情報
CVE: CVE-2025-12816, CVE-2025-13465, CVE-2025-3415, CVE-2025-61140, CVE-2025-68156, CVE-2026-1615, CVE-2026-21720, CVE-2026-21721, CVE-2026-21722, CVE-2026-25547, CVE-2026-27606
SuSE: SUSE-SU-2026:1013-1