SUSE SLED15 / SLES15 /openSUSE 15shadow に推奨される更新SUSE-SU-SUSE-RU-2026:1228-1]
medium Nessus プラグイン ID 305843
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-SUSE-RU-2026:1228-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。shadow が 4.17.2 に更新され、多くの機能とバグ修正が導入されました。
- util-linux-2.41 により、新しい変数 LOGIN_ENV_SAFELIST が導入されました。これを認識し、依存関係を更新してください。
- SYS_{UID,GID}_MIN を 201 に設定
同様の ID 範囲変更リクエストを繰り返した後、上記の値を 201 に設定しました。最大値は 499 のままです。
この範囲は十分なはずであり、将来的には回避策を講じます。
すべてのパッケージで使用されている静的 UID/GID を調べるのは簡単ではありません。
4.17.2 に更新:
* src/login_nopam.cコンパイラの警告を修正 #1170
* lib/chkname.cLOGIN_NAME_MAX と sysconf(_SC_LOGIN_NAME_MAX) に制限を加えます #1169
* パスワードの強度に関する Wikipedia の記事へのリンクで HTTPS を使用します #1164
* lib/attr.h C23 属性を gcc >= 10 でのみ使用します #1172
* loginno-pam 承認の回帰を修正します #1174
* man ポルトガル語翻訳を追加 #1178
* フランス語翻訳を更新 #1177
* 低コストの防御メカニズムを追加します #1171
* ルーチン語翻訳を追加 #1176
4.17.1 に更新:
* 「su -」回帰を修正します #1163
4.17.0 に更新:
* csrand_uniform() のドメインの下位部分を修正します
* volatile ポインターの使用を修正
* atoi(3) の代わりに str2[u]l() を使用します
* さまざまな場所で a2i() を使用します
* const の正確性を修正
* UIDおよび GIDを保持するために uid_t を使用します
* すべての sprintf(3)-like API をサブディレクトリに移動します
* すべてのコピーしている API をサブディレクトリに移動します
* ENOMEM の無限ループを修正
* REALLOC() nmemb 計算を修正
* id(1) を削除
* groups(1) を削除します
* ヒューマンが読み取り可能な日付にローカル時間を使用する
* strftime(3) で %Y-%m-%d の代わりに %F を使用します
* is_valid{user,group}_name()理由を区別するために errno を設定します
* 有用な場合にのみ --badname を推奨します
* /etc/default/useradd のモード修正に fmkomstemp() を追加
* sgetgrent() の use-after-free のバグを修正
* カタロニア語翻訳を更新
* cppw、cpgr への参照を削除します
* groupadd、groupmodgshadow ファイルを -U で更新します
* アクティブなユーザーのみをリストするためにオプション -a を追加し、iflg,return を使用して最適化
* 新しいオプション「-a」に関して lastlog man ページに情報を追加しました
* 多数のコードのクリーンアップと明確化
- sssd キャッシュのフラッシュを無効にします。sssd のファイルプロバイダーは利用できなくなりました。
4.16.0 に更新:
* id(1) および groups(1) のシャドウ実装が廃止され、GNU coreutils および binutils バージョンに置き換えられます。
これらは 4.17.0で削除される予定です。
* rlogind の実装が削除されました。
* libsubid メジャーバージョンが更新されました。これは、モジュールの free() 実装の仕様が必要になるためです。
4.15.1 に更新:
* 不明な login.defs 構成オプションについての偽造エラーメッセージを引き起こすバグを修正します #967
* fd の省略にチェックを追加します #964
* 一時 stat バッファを使用します #974
* 間違っているフランス語翻訳を修正 #975
4.15.0 に更新してください
* libshadow
- utmp の代わりに utmpx を使用します。これは 4.14.0で導入された回帰を修正します。
- ビルドエラーを修正しますパラメーター名省略。
* ビルドシステム
- libdl との適切なリンク。
- ./configure を使用して chpasswd(8) と newusers(8) に pam 構成をインストールします --with-libpam --disable-account-tools-setuid
- libshadow および libmisc を単一の libshadow にマージします。これにより、少なくとも Gentoo で報告されていた、リンカーの問題が修正されます。
- musl libc でビルドを修正します。
- ツリー外のビルドのサポート
* useradd(8)
- def_usrtemplate に対して適切な SELinux ラベルを設定します
4.14.6 に更新:
* login(1)
- off-by-one バグを修正します。
* passwd(1)
- 200 文字以上のパスワードをサイレントに切り捨てません。
代わりに PASS_MAX の長さを受け入れ、より長いものは拒否します。
* libshadow
- strtoday() での計算を修正します。これにより、場合によっては間違った半分のオフセットを引き起こしていましたbsc#1176006]
- get_date() での日付の解析を修正しますbsc#1176006]
- utmp の代わりに utmpx を使用します。これは 4.14.0で導入された回帰を修正します。
4.14.5 に更新:
* ビルドシステム
- 誤字のために 4.14.4で導入された回帰を修正します。 chgpasswd は Makefile 変数から削除されていましたが、chpasswd である必要がありました。
4.14.4 に更新:
* ビルドシステム
- libdl との適切なリンク。
- ./configure を使用して chpasswd(8) と newusers(8) に pam 構成をインストールします --with-libpam --disable-account-tools-setuid
* libshadow
- ビルドエラーを修正しますパラメーター名省略。
- off-by-one バグを修正します。
- 警告を削除します。
4.14.3 に更新:
* libshadownull ポインターデリファレンスを回避します#904
* PAM 構成から pam_keyinit を削除。bsc#1199026 bsc#1203823これは bsc#1144060で導入されました。
4.14.2 に更新:
* libshadow
- musl libc でビルドを修正します。
- NULL 逆参照を回避します。
- 最初のログインで utmp を更新します
* useradd(8)
- def_usrtemplate に対して適切な SELinux ラベルを設定します
* マニュアル
- chage(1)、chpasswd(8)、および passwd(1) のドキュメント --prefix
4.14.1 に更新:
ビルドシステムlibshadow と libmisc を単一の libshadow にマージします
これにより、少なくとも Gentoo で報告されていた、リンカーの問題が修正されます。 #791
- 新しい homedirs に対して適切な SELinux ラベルを設定します。
4.14.0 に更新:
* configurewith-libbsd オプションを追加します
* コードのクリーンアップ
* utmp インターフェイスを置換 #757
* 新しいオプション enable-logind #674
* shadow userdel01-kill_user_procs.sh の busybox ps に適応を追加します
* chshroot が /etc/shells にリストされていないシェルを設定する場合に警告します #535
* newgrp潜在的な文字列インジェクションを修正
* lastlog最新のヘッダーのアライメントを修正します
* yescrypt サポートを修正 #748
* chgpasswdコマンドラインオプションのセグメンテーション違反を修正します
* gpasswdパスワード漏洩を修正しますbsc#1214806、 CVE-2023-4641]
* --prefix passwd、chpasswd および chage に #714 を追加しますbsc#1206627
* usermodoff-by-one の問題を修正します #701
* ch(g)passwd起動時に selinux 権限をチェックします #675
* sub_[ug]id_{add,remove}戻り値を修正します
* chshログインシェルパスが絶対であることを検証します #730
* process_prefix_flag権限をドロップします
* groupadd および groupdel の run_parts #706
* newgrp/useraddSIGCHLD を常にデフォルトに設定
* useradd/usermod --selinux-range 引数 #698
* sssd実行可能ファイルが存在しない場合は、フラッシュをスキップします #699
* semanageデフォルトの SELinux 範囲を設定しません #676
* 制御文字チェックを追加します #687
* usermod --prefix オプションの --gid ] を順守します
* basename の NULL 逆参照を修正します
* newuidmap および newgidmapfd として受け渡される pid をサポートします
* 領域外アクセスの防止 #633
* 改行のみを明示的にオーバーライド #633
* tz で不正なシステムファイルを適切に処理 #633
* サポートベンダーは -shells- 構成ファイルを与えられました #599
* 既存の /etc/nsswitch.conf の読み取りに失敗した場合に警告します
* chfnnew_fields間違ったフィールドが出力されるのを修正します
* 構成ファイルを通じて補助グループを追加できるようにします #586
* useraddユーザーに対する subid 範囲が存在するかどうかをチェックします #592rh#2012929]
- デフォルトで Y2038 安全な lastlog2 に切り替えることができるように、lastlog の名前を lastlog.legacy に変更します [jsc#PED-3144]
- bsc#1205502ID フィールドの useradd 監査イベントログを修正します
4.13 に更新:
* useradd.8デフォルトグループ ID を修正します
* subid_init() のドロップを元に戻す
* ジョージア語翻訳
* useradd不要なスペースを取るのを回避しますlastlog に存在しないデータをリセットしません
* ユーザー名の制限を緩和します
* selinuxserange を設定する前に MLS が有効であることを確認します
* copy_treechmod の代わりに fchmodat を使用します
* copy_treeFIFO ではブロックしません
* シェルリンターを追加
* copy_tree権限を慎重に扱います
* lib/commonioロック障害をより詳細にします
* lib該当する場合は strzero と memzero を使用します
* オランダ語翻訳を更新
* free を呼び出す前に NULL をテストしません
* libc MAX() と MIN() を使用します
* chageprint_date の回帰を修正
* usermodhomedir が存在しない場合、エラーをレポートします
* libmiscシステムアカウントの最小 ID チェック
* グループを誤って追加する usermod -rG xy を修正します
* manuseradd.8.xml に不足しているスペースを追加します
* lastloglocaltime() の戻り値をチェックします
* パスワードおよびシャドウエントリの長さの制限を増大します
* adduser-old.c を削除
* useraddプレフィックスを使用する際のバッファオーバーフローを修正します
* /etc/nsswitch.conf のオープンに失敗した場合に警告しません
4.12.3 に更新:
soname を更新していた、subid_init の削除を元に戻します。
そのため、 4.12 から 4.12.2 までがサブ ID ユーザーに対して破損していました。
4.12.2 に更新:
* アドレス CVE-2013-4235 ディレクトリのコピー時に TOCTTOU[bsc#916845]
4.12.1 に更新:
* uk man ページを修正します
4.12 に更新:
* 絶対パスのヒントを に追加 --root
* さまざまなクリーンアップ
* CI テストで使用される Ubuntu リリースを修正します
* userad に -F オプションを追加します
* useradd man ページの更新
* subid 範囲でowneridだけでなくuseridをチェック
* ファイルローカル関数の静的宣言を宣言します
* 厳格なプロトタイプを使用します
* Basename に対する const 修飾子をドロップしません
* さまざまなポインターを const 化します
* 初期化されていないメモリを返しません
* コンパイラにメモリクリーニングを最適化させません
* 多くの旧式の互換性チェックと定義を削除します
* useradd の ID 範囲チェックを変更します
* C++ から libsubid をより簡単に使用するために「extern「C」を使用します
* フランス語翻訳の更新
* s/with-pam/with-libpam/ を修正します
* スペイン語翻訳の更新
* フランス語翻訳の修正
* グループ名の最大文字数を 32 にデフォルト設定
* PAM サービスファイルを-selinux で修正します
* man ページを改善します
- groupadd、useradd、usermod
- groups and id
- pwck
* pw_dir チェックが発生する条件を修正します
* logoutdstrncat にスイッチしてください
* AUTHERSマークダウン出力を改善します
* ERANGE エラーを適切に処理します
* fopen NULL 戻り値のチェック
* get_salt() を独自の fn juyin に分割
* /dev/urandom を確保するために chroot の前にソルトを取得します。
* Chpasswd コードのクリーンアップ
* git safe.directory の強制に対処
* usermod ヘルプの順序をアルファベット化
* エラーブランチのパスワードコピーを消去
* 必要に応じて --badname を使用して提案します
* 翻訳ファイルを更新
* badname オプションを badname に修正します
* configure廃止された autoconf マクロを置き換えます
* testsegrep を grep -E で置き換えます
* ウクライナ語翻訳を更新
* クリーンアップ
- redeclared 変数を削除します
- コメントアウトされたコードと FIXME を削除します
- ヘッダーガードを追加します
- ローカル変数を初期化します
* CI 更新
- github ワークフローを作成し、依存関係をインストールします
- CodeQL を有効化
- アクションバージョンの更新
* libmisc他のメソッドが失敗した場合は、/dev/urandom をフォールバックとして使用します
サポートし、使用しているため、 SLE15 で /etc/login.defs.d を提供します
4.11.1 に更新:
* ビルドlib/shadowlog_internal.h を dist tarball に含めます
4.11 に更新:
* usermod/userdel で起こり得る TOCTTOU の問題を処理します
-(CVE-2013-4235)
- ファイルのコピー時に O_NOFOLLOW を使用します
- userdel の全ユーザータスクを kill します
* useradd -D セグメンテーション違反を修正します
* 廃止された libc feature-check ifdefs をクリーンアップ
* 重複する Prog 宣言による -fno-common ビルドの破損を修正します
* 単一の date_to_str 定義があります
* libsubid SONAME バージョン を修正します
* ライセンス情報を明確にし、SPDX を使用します。
4.10 に更新:
* このリリース以降、このパッケージの su は廃止予定であると見なされます。これの全ユーザーを surom util-linux で置き換えてください
* libsubid の修正
* テストプログラム list_subid_ranges の名前を getsubids に変更し、distros が出荷できるように man ページを書きます。
* new*idmap に対して libeconf dep を追加します
* usermod -G ですべてのグループタイプを許可します
* useradd が空の subid 範囲を生成するのを回避します
* NULL pw_passwd を処理します
* デフォルト値の SHA_get_salt_rounds を修正
* README 内の可能な限り https を使用します
* README のコンテンツとフォーマットを更新
* 翻訳の更新
* 「make dist」の xml2po から isttool へ切り替えます
* 二重解放を修正します
* LOG_INIT 構成可能なを useradd に追加します
* CREATE_MAIL_SPOOL ドキュメントを追加
* security.md を作成
* TERM をトラップする際に su が SIGKILLd にならないように修正します
* いくつかの可能なケースでの不適切な SELinux ラベルを修正します
* chadowtb_move の欠落している chmod を修正します
* 無効な形式の hugelogins エントリを処理します
* パスワードが存在しない場合、groupdel segv を修正します
* covscan-found newgrp セグメンテーション違反を修正
* hoedir にある末尾のスラッシュを削除します
* passwd -l メッセージを修正します - 有効期限を変更しません
* su と vipw での SIGCHLD 処理のバグを修正します
* usermod の「」の特殊なケースを削除
* usermod -rG を実装して、特定のグループを削除
* su と login の子パスでの fork の後に pam_end() を呼び出します
* useradd/etc/passwd がない場合は、0 == root と想定します
* libデータを解放する前に NULL をチェックします
* pwck のセグメンテーション違反を修正します
- USERGROUPS_ENAB を本当に有効化します [bsc#1189139]。
systemd サービスに強化を追加しましたbsc#1181400。
* login.defs に LOGIN_KEEP_USERNAME を追加します。
* login.defs から PREVENT_NO_AUTH を削除します。パッケージ化されていない login および su によってのみ使用されます。
* 現在の構成でサポートされていない、BCRYPT_MIN_ROUNDS、BCRYPT_MAX_ROUNDS、YESCRYPT_COST_FACTOR の変数を削除します。
* login.defsUSERGROUPS_ENAB および CREATE_HOME を有効にして、openSUSE で使用するユーザーアカウントを作成するその他のツールと互換性を持たせます。セキュリティ上の理由と互換性のために、HOME_MODE を 700 に設定。bsc#1189139] [bsc#1182850]
4.9 に更新:
* 翻訳を更新
* 重要なソルトの更新
* さまざまな coverity と cleanup の修正
* man で PASS_MIN_Days を無効化するために常に 0 を使用します
* subids および libsubid に対する NSS サポートを実装します
* setfcapuid 0 のマッピング時に setfcap を保持します
* login.defHMAC_CRYPTO_ALGO キーを含めます
* selinux の修正
* パスプレフィックスパス処理の修正
* man ページの更新
* 空のパスワードフィールドを無効として扱いますHaelwenn Monnier 氏
* newxidmap代替 gid での実行を許可
* usermodシェルが実行可能であることをチェックします
* yesscript サポートを追加します
* useradd memleak の修正
* useraddデフォルトでビルトイン設定を使用します
* getdefs外部を追加
* バッファオーバーフローの修正
* 前および後の useradd/del に対する run-parts スタイルの追加
- login.defs/MOTD_FILE空白エントリの代わりに「」が使用されます [bsc#1187536]
- /etc/login.defs.d ディレクトリを追加
- shadow を使用してより安全なグループパスワードを設定できるように、shadowgrp を有効にします。
- motd メッセージ出力を統一するために pam_motd の使用が可能なように MOTD_FILE を無効化 [bsc#1185897]。eg cockpit のその他の motd エントリは表示されません。
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける libsubid-devel、libsubid5、login_defs および/または shadow パッケージを更新してください。参考資料
https://bugzilla.suse.com/916845
https://bugzilla.suse.com/1144060
https://bugzilla.suse.com/1176006
https://bugzilla.suse.com/1181400
https://bugzilla.suse.com/1182850
https://bugzilla.suse.com/1185897
https://bugzilla.suse.com/1187536
https://bugzilla.suse.com/1189139
https://bugzilla.suse.com/1199026
https://bugzilla.suse.com/1203823
https://bugzilla.suse.com/1205502
https://bugzilla.suse.com/1206627
https://bugzilla.suse.com/1214806
https://bugzilla.suse.com/1246052
https://lists.suse.com/pipermail/sle-updates/2026-April/045360.html
プラグインの詳細
深刻度: Medium
ID: 305843
ファイル名: suse_SU-RU-2026-1228-1.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2026/4/10
更新日: 2026/4/10
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Low
基本値: 3.3
現状値: 2.4
ベクトル: CVSS2#AV:L/AC:M/Au:N/C:N/I:P/A:P
CVSS スコアのソース: CVE-2013-4235
CVSS v3
リスクファクター: Medium
基本値: 5.5
現状値: 4.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2023-4641
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:libsubid-devel, p-cpe:/a:novell:suse_linux:libsubid5, p-cpe:/a:novell:suse_linux:shadow, p-cpe:/a:novell:suse_linux:login_defs, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/4/9
脆弱性公開日: 2019/12/3
参照情報
CVE: CVE-2013-4235, CVE-2023-4641
SuSE: SUSE-RU-2026:1228-1