検出

SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新PrometheusSUSE-SU-2026:1008-1

critical Nessus プラグイン ID 303785

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2026:1008-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 golang-github-prometheus-alertmanager、 golang-github-prometheus-node_exporter

 - 顧客に影響を与えないビルド問題を修正する内部変更

 golang-github-prometheus-prometheus:

 - 修正されたセキュリティ問題:

 * CVE-2026-27606ロールアップのパストラバーサルによる任意のファイル書き込みを修正しましたbsc#1258893
 * CVE-2026-25547CPU とメモリの過剰消費を引き起こす無制限のブレース範囲拡張を修正bsc#1257841
 * CVE-2026-1615、 CVE-2025-61140 セキュリティの問題により、古い Web UI はもはや構築されませんbsc#1257897、 bsc#1257442]
 * CVE-2025-13465lodash パッケージをバージョン 4.17.23 に更新し、プロトタイプ汚染の脆弱性を修正しますbsc#1257329
 * CVE-2025-12816暗号化検証のバイパスを可能にする解釈競合の脆弱性bsc#1255588

 - 次のハイライトされた変更を含む 2.53.4 から 3.5.0 へのバージョン更新jsc#PED-13824

 * 現代化されたインターフェイス全く新しい UI を導入しました
 * クラウドおよび認証の強化: AWS サービス検出 (EC2、ECS、Lightsail) および Azure Workload Identity サポートが追加され、より安全なネイティブクラウド認証が可能になりました。
 * パフォーマンス標準OpenTelemetryOTLP取り込みを完全に統合し、ネイティブ Histogram を実験的な機能から安定版stable機能へ移動しました。
 * 高度なデータエクスポートリモート書き込みをロールアウト 2.0、データを外部システムに送信する際にパフォーマンスとメタデータ処理が向上しました。
 * クエリパワーPromQL 関数first_over_time や last_over_time などを追加し、グループ化操作を最適化しました。
 * 可視性の向上: UI に詳細な再ラベル付け手順、ス細工間隔、タイムアウトが表示されるようになり、ターゲットが正しく報告されない理由のトラブルシューティングが容易になりました。
 * 重要修正クエリロギングに関連する重大なメモリ漏洩を解決し、ターゲットが意図せず複数回スケープされるバグを修正しました。

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるfirewalld-prometheus-config、golang-github-prometheus-alertmanager、golang-github-prometheus- node_exporter、golang-github-prometheus-prometheusパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1255588

https://bugzilla.suse.com/1257329

https://bugzilla.suse.com/1257442

https://bugzilla.suse.com/1257841

https://bugzilla.suse.com/1257897

http://www.nessus.org/u?bdf78069

https://www.suse.com/security/cve/CVE-2025-12816

https://www.suse.com/security/cve/CVE-2025-13465

https://www.suse.com/security/cve/CVE-2025-61140

https://www.suse.com/security/cve/CVE-2026-1615

https://www.suse.com/security/cve/CVE-2026-25547

プラグインの詳細

深刻度: Critical

ID: 303785

ファイル名: suse_SU-2026-1008-1.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/3/26

更新日: 2026/3/26

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2025-13465

CVSS v3

リスクファクター: Medium

基本値: 5.3

現状値: 4.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: Critical

Base Score: 9.2

Threat Score: 8.7

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H

CVSS スコアのソース: CVE-2026-25547

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:golang-github-prometheus-prometheus, cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:golang-github-prometheus-node_exporter, p-cpe:/a:novell:suse_linux:golang-github-prometheus-alertmanager

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/3/25

脆弱性公開日: 2025/11/25

参照情報

CVE: CVE-2025-12816, CVE-2025-13465, CVE-2025-61140, CVE-2026-1615, CVE-2026-25547

SuSE: SUSE-SU-2026:1008-1